HTML 밀수 캠페인은 멘로 시큐리티 클라우드 플랫폼에 의해 중단되었습니다.
멘로 시큐리티는 저희가 “두리”라고 이름 붙인 공격을 면밀히 모니터링하고 있습니다.Duri는 HTML 밀수를 활용하여 샌드박스 및 레거시 프록시와 같은 네트워크 보안 솔루션을 우회하여 사용자 엔드포인트에 악성 파일을 전송합니다.격리는 이러한 공격이 엔드포인트를 감염시키는 것을 방지합니다.우리가 알고 있는 내용은 다음과 같습니다.
HTML 스머글링이란 무엇입니까?
HTML 밀수의 목적은 HTML5/JavaScript 기능을 사용하여 파일 다운로드를 제공하는 것이며, 일반적으로 두 가지 종류가 있습니다.
이 특정 공격에서는 브라우저를 통해 사용자의 엔드포인트로 악성 파일을 밀수하는 데 JavaScript Blob 기술이 사용되는 것을 관찰했습니다.이렇게 클라이언트 브라우저에서 콘텐츠를 구성하면 샌드박스와 같은 네트워크 보안 솔루션을 회피하게 됩니다. 프록시.
두리가 뭐야?
우리의 관찰에 따르면, 두리 캠페인은 7 월 초에 시작되어 현재 활발히 진행되고 있습니다.이달 초, 당사는 사용자의 웹 사이트 방문 및 후속 파일 다운로드를 확인했는데, 의심스러워 차단되었습니다.조사 결과 이 파일은 HTML 밀수를 통해 다운로드된 것으로 확인되었습니다. 프록시, 방화벽, 샌드박스와 같은 기존 네트워크 보안 솔루션은 네트워크를 통한 객체 전송에 의존합니다.예를 들어 샌드박스는 유선에서 .exe, .zip 및 기타 의심스러운 개체와 같은 파일 개체를 추출한 다음 샌드박스로 보내 폭파시킬 수 있습니다.Duri를 사용하면 전체 페이로드가 클라이언트 측 (브라우저) 에서 구성되므로 샌드박스에서 검사할 객체가 유선으로 전송되지 않습니다.
Duri는 어떤 전술을 사용합니까?
Duri가 다운로드하는 멀웨어는 새로운 것이 아닙니다.에 따르면 시스코이전에는 Dropbox를 통해 전송되었지만 공격자들은 이제 Dropbox를 다른 클라우드 호스팅 제공업체로 대체하고 HTML 밀수 기법을 혼합하여 엔드포인트를 감염시켰습니다.이러한 전술 변화가 보안 침해된 엔드포인트의 성공률을 높이는 데 활용되고 있는 것으로 추측됩니다.
랜딩 페이지
사용자가 링크를 클릭하면 duckdns [.] org에서 호스팅되는 HTML 페이지로 이동하기 전에 여러 수준의 리디렉션이 이루어집니다.랜딩 페이지는 아래와 같이 base64로 인코딩된 변수에서 블럽 객체에 대한 데이터를 초기화하는 JavaScript 온로드를 호출합니다.
위에서 볼 수 있듯이 ZIP 파일은 MIME 유형이 옥텟/스트림인 블럽 객체에서 동적으로 구성되며 엔드포인트로 다운로드됩니다.사용자는 여전히 ZIP 파일을 열고 실행해야 합니다.
악성 MSI 드롭퍼
ZIP 아카이브에는 MSI 파일이 들어 있습니다. [T1218.007]..msi 파일 확장자는 파일이 Microsoft Windows 설치 프로그램이며 응용 프로그램과 모든 종속 프로그램을 포함하고 있음을 나타냅니다.PUVG OKAGE SBKZONA ETRWDDQGBL .zip 아카이브: PUVG OKAGE SBKZONA ETRWDDQGBL .zip 인플레이팅: PUVG OKZAGO SBKZONA ETRWDDQGBL (869261) .msi파일 PUVG OKZAGE SBKZXONA ETRWDDQGBL (869261) .msipuVG OKZAGE SBKZXONA ETRWDDQGBL (869261) .msi: 복합 문서 파일 V2 문서, 리틀 엔디안, OS: Windows.MSI 파일을 살펴보면 사용자 지정 액션에 스크립트 코드 실행 액션이 정의되어 있음을 알 수 있습니다. MSI 콘텐츠:
마이크로소프트 JSCRIPT 분석
포함된 JSCRIPT는 난독 처리되어 호출 시 다음 작업을 수행합니다.
- 원격 위치에서 ZIP 파일을 가져옵니다: hxxp: //104 [.] 214 [.] 115 [.] 159/mod/input20 [.] jpg
URL의 확장자는.jpg이지만 ZIP 파일입니다.
- ZIP 파일이 공용 문서 폴더에 다운로드되고 ZIP 아카이브에서 두 개의 파일 (Avira.exe 및 rundll.exe) 이 추출됩니다.
- Avira.exe 파일은 이름이 임의로 지정된 EXE 파일로 이름이 바뀝니다.rundll.exe 파일은 확장자가.bmp인 임의로 이름이 지정된 파일로 이름이 바뀝니다.
- LNK 파일은 %appdata% (로밍) 폴더에 생성되고 LNK 파일의 대상은 무작위로 이름이 바뀐 Avira.exe 파일로 설정됩니다. [T1547.009].
- 위의 LNK 파일에 대한 자동 실행 키를 생성하여 지속성을 달성합니다. [T1547.001].
- 마지막으로 실행되는 명령은 [T1059.001]:
powershell.exe cd; cd 'c:UsersJohn SmithApp 데이터 로밍 마이크로소프트 윈도우 시작 메뉴 프로그램 시작'; Start-Sleep -s 60; Start-Process 'YOUXQNWXME.lnk' - 추출된 Avira.exe 파일은 Avira에서 보낸 500MB 정도의 서명된 파일이었으며, rundll.exe 파일과 함께 제공되었으며, 동작을 추가로 분석하고 검사하는 데 사용할 수 있는 프로세스 인젝션 또는 사이드 로딩 기법의 증거는 관찰되지 않았습니다.
멘로 시큐리티는 어떻게 두리에 대한 가시성을 확보할 수 있을까요?
기존 보안 솔루션은 사이버 보안에 대한 탐지 및 대응 접근 방식에 의존하는 반면, Menlo는 클릭 한 번으로 차단 또는 격리 결정을 강요하여 제로 트러스트 접근 방식을 가능하게 합니다.모든 콘텐츠는 원격 브라우저에서 가져와 실행되며 엔드포인트에서 차단되며 안전한 미러링된 콘텐츠만 사용자 장치에 전달됩니다.이렇게 하면 맬웨어가 엔드포인트에 액세스하는 것을 방지할 수 있습니다. JavaScript를 사용하여 프로그래밍 방식으로 동적으로 악성 페이로드를 생성하는 Duri와 같은 캠페인은 Menlo 플랫폼을 피할 수 없습니다.Menlo를 통한 파일 다운로드는 2단계 프로세스입니다.격리된 브라우저에서 파일을 다운로드할 때마다 당사 플랫폼에서 고유한 이벤트가 트리거됩니다. 그 이유는 무엇이든 상관 없습니다. 데이터 URL, 자바스크립트 얼룩 다운로드 또는 링크.따라서 Menlo 플랫폼을 사용하면 모든 파일의 내용을 더 잘 볼 수 있습니다. 공격자들은 보안 솔루션을 회피하거나 우회하기 위해 끊임없이 전략을 수정하고 있습니다. 따라서 탐지 및 대응 방식에 의존하는 도구가 항상 따라잡아야 합니다.HTML 밀수는 공격자의 무기고에 통합되어 네트워크 솔루션이 이를 차단하지 않고도 엔드포인트로 페이로드를 전송하는 데 더 자주 사용될 수 있는 기술 중 하나라고 생각합니다.멘로의 격리 접근 방식은 모든 콘텐츠가 엔드포인트에 도달하는 것을 방지하여 기본 사용자 경험에 영향을 주지 않으면서 모든 멀웨어를 효과적으로 차단합니다.성능 저하 없는 보안입니다.
충수
참고 문헌:
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/Data_URIs
- https://developer.mozilla.org/en-US/docs/Web/API/Blob
- https://umbrella.cisco.com/blog/navigating-cybersecurity-during-a-pandemic-latest-malware-and-threat-actors
- https://blog.trendmicro.com/trendlabs-security-intelligence/analysis-abuse-of-custom-actions-in-windows-installer-msi-to-run-malicious-javascript-vbscript-and-powershell-scripts/
IOC—URL
hxxp: //huzirh.com/hidrol/
hxxp: //isocamprh.com.br/
hxxp: //hxxp.plasticospr.com/webmailgroupo? nzn11t6c68b5k40ry31c903ez3xaq/formulario_correios_37.pdf
hxxp: //gmpbusdoor.com/
hxxp: //hxxp.isocamprh.com.br/incolajes
hxxp: //iboxrh.com/consultoriarh? 1e0wq712tctv0232v000lnjsn4c7a/boleto.3673.pdf
hxxp: //www.isocamprh.com.br/incolajes
hxxp: //hxxp.isocamprh.com.br/incolajes/
hxxp: //isocamprh.com.br/ incolajespage=Boletos&idboleto=8868
hxxp: //hxxp.westermarh.com/waycompany? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.grentrepostorh.com/
hxxp: //update-completo.com/
hxxp: //plasticospr.com/webmailgrupo? fotosWhatsWhatsApps/Imagem.htmlDigitalOceanSpaces.com/fotos.html
hxxp: //ultrafarmarh.com/transglobal? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2bfb6792
hxxp: //hidrolrh.com/
hxxp: //hxxp.casadaembalagemriopreto.com/officeclean? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
hxxp: //www.fjpconstrucoes.com/predilecta
hxxp: //grentrepostorh.com/ webmailGrupopage=Boletos&idboleto=8868
hxxp: //casadaembalagemriopreto.com/officeclean? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //grjseguros.com/
hxxp: //hxxp.huzirh.com/ hidrolpage=Boletos&idboleto=8868
hxxp: //usinasalgado.com/contabilidadecnt
hxxp: //westermarh.com/
hxxp: //www.fjpconstrucoes.com/predilecta
hxxp: //fjpconstrucoes.com/
hxxp: //www.graphiczonerh.com/mobile? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //www.westermarh.com/waycompany? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //www.iboxrh.com/
hxxp: //westermarh.com/waycompany? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.grjseguros.com/
hxxp: //grentrepostorh.com/
hxxp: //hxxp.continentalnetrh.com/tbvc? get-facebook-verified/get-facebook-verified.html
hxxp: //hxxp.westermarh.com/waycompany
hxxp: //hxxp.fachiniengenharia.com/predilecta
hxxp: //gmpbusdoor.com/furnax
hxxp: //hxxp.plasticospr.com/webmailgroupo? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
hxxp: //hxxp.update-completo.com/ consultrhpage=boletos
hxxp: //www.grentrepostorh.com/webmailgrupo
hxxp: //www.fjpconstrucoes.com/
hxxp: //hxxp.fachiniengenharia.com/predilecta? NZN11T6C68B5K40RY31C903EZ3XAQ/Formulario_Correios_37.pdf
hxxp: //fjpconstrucoes.com/predilecta
hxxp: //www.versatilsegurosrh.com/vbimport? WOA/REST/Faturamento/v1/FaturaDigital/Visualizar? data-vencimento
hxxp: //fjpconstrucoes.com/predilecta
hxxp: //www.laboratrh.com/ contabilidaDecntpage=Boletos&idboleto=8868
hxxp: //fachiniengenharia.com/predilecta
hxxp: //hxxp.hidrolrh.com/heimatschutz
hxxp: //fjpconstrucoes.com/ predilectapage=Boletos&idboleto=8868
hxxps: //iboxrh.com/
hxxp: //fachiniengenharia.com/ predilectapage=Boletos&idBoleto=8868
hxxp: //grjseguros.com/grjseguros? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //continentalnetrh.com/tbvc? get-facebook-verified/get-facebook-verified.html
hxxp: //grentrepostorh.com/webmailgrupo
hxxp: //isocamprh.com.br/ incolajespage=boletos &
hxxp: //hxxp.westermarh.com/
hxxp: //fachiniengenharia.com/ predilectapage=Boletos&idBoleto=8868
hxxp: //hidrolrh.com/heimatschutz
hxxp: //bustvch.com/
hxxp: //hxxp.grentrepostorh.com/webmailgroupo? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //isocamprh.com.br/ incolajespage=Boletos&idboleto=8868
hxxp: //fjpconstrucoes.com/ predilectapage=Boletos&idboleto=8868
hxxp: //casadaembalagemriopreto.com/
hxxp: //hxxp.bustvch.com/
hxxp: //iboxrh.com/
hxxp: //hxxp.fjpconstrucoes.com/predilecta? PU106006743Z5QP2SL6RC00CT2330/Boletim_Registrado38361526.pdf
hxxp: //www.continentalnetrh.com/tbvc? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //bustvch.com/adinoxrs
hxxp: //hxxp.ultrafarmarh.com/transglobal? WhatsApp_Historico_de_Conversas? whatsapphistorico/index. htmlvisualizar=c06e8cf10aeaf00c33360d2b2bfb6792
hxxp: //hxxp.update-completo.com/ consultrhpage=Boletos&idBoleto=8868
hxxp: //hxxp.casadaembalagemriopreto.com/