HEAT 공격: 악성 URL 링크 회피 분석

많은 사람들이 재택근무에 익숙해 지고 있으며, 팬데믹이 지나간 후에도 계속 그럴 것으로 전망됩니다. Mercer 연구에 따르면 응답 기업의 70%가 사무실/원격 하이브리드 모델을 채택할 것이라고 말했습니다. 응답한 회사들에게 그럴만한 이유가 있습니다. 이 FlexJobs 설문 조사에 대한 작업자 응답자의 거의 60%는 원격으로 계속 일할 수 없다면 무조건적으로 새로운 직장을 찾을 것이라고 답했기 때문입니다.

이 설문내용이 기업 사이버 보안에 의미하는 바는 무엇일까요? 바로 공격자가 원격 직원이 집중적으로 작업하는 웹 브라우저에 집중 공격을 할 것임을 의미합니다. 오늘날 사이버 공격자들은 원격 직원들에게 피싱 또는 스피어 피싱 이메일을 통해 악성 링크를 보냅니다. 흥미롭게도 연구에 따르면 모든 사이버 공격의 90% 이상이 피싱 공격과 관련되어 있으며 실제적으로 이러한 링크 공격이 성공율이 높아 공격이 계속될 것으로 예상됩니다. 또한 공격자들은 직원들이 기술을 사용하는 “방법”과 “어디서”가 발전함에 따라 공격 방법을 변환하고 있습니다.

“공격을 수정하는 한 가지 방법은 HEAT(Highly Evasive Adaptive Threats) 전술을 사용하는 것입니다. 피싱 공격과 관련하여 위협 행위자는 악성 URL을 피하기 위해 할 수 있는 모든 조치를 취합니다. -링크 분석 엔진은 전통적으로 사용자가 보기도 전에 링크를 분석하기 위해 이메일 내에 구현되었습니다. 공격자의 전략이 성공적으로 입증되고 있습니다. Menlo Labs 연구팀은 2021년 하반기에 HEAT 공격이 224% 증가한 것을 관찰했습니다. 많은 경우 이러한 공격으로 인해 랜섬웨어가 유포되었습니다.”

일반적으로 피싱 공격에는 사용자가 평판이 좋은 사람이나 회사와 상호 작용하고 있다고 생각하도록 속이는 기만적인 커뮤니케이션이 포함됩니다. 역사적으로 피싱 공격은 이메일을 통해 전달되었습니다. 이러한 이메일은 일반적으로 일부 형태의 일반 사회 공학 기술을 사용하여 사용자가 악성 링크를 클릭하도록 속이고 커뮤니케이션에서 가장한 브랜드나 사람에 대한 피해자의 신뢰를 이용합니다. 스피어 피싱 공격에서 공격자는 표적이 된 희생자를 조사하고 대상을 유인하거나 안주하게 만드는 데 사용할 수 있는 좋아하는 것, 욕망하는 것, 삶의 다른 측면을 배웁니다.

아마도 조직이 이미 다른 제품 및 서비스에 대한 기존 비즈니스 관계를 갖고 있는 Microsoft와 같은 공급업체와 더 긴밀하게 결합되었기 따라서, 사이버 공격자들은 이메일 피싱 영역 외부에서 이러한 접근 방식을 점점 더 많이 사용하고 있습니다. HEAT 공격을 통해 사용자는 소셜 미디어 및 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서, 공유 폴더 등과 같은 이메일 이외의 통신 채널을 통해 악성 링크의 표적(또는 공격)을 받습니다. 이러한 악성 링크는 기업 보안을 우회하고 기업 엔드포인트에 멀웨어를 전달하기 위해 개인 자격 증명 대신 기업 자격 증명을 훔치는 데 점점 더 많이 사용됩니다.

진화된 사이버 보안 공격 전술

사이버 공격자가 직면한 문제는 기업이 이메일 보안을 지속적으로 개선하고 이러한 채널에서 맬웨어 및 악성 링크를 적극적으로 검사한다는 것입니다. 비즈니스에 정통한 사용자와 직원(보안 인식 교육 덕분에 공격 대상임을 알고 있음)은 자신의 안전이 완전히 확신되지 않을 때 이메일을 클릭하지않습니다. 그러나 교육을 받음에도 불구하고 사람들은 해킹공격에 속으며 많은 직원들이 여전히 클릭하는 링크에 대해 신중하지 않아 공격에 빠지는 일이 발생하였고 이를 막기위해 기업은 점점 더 많은 직원들에게 보안에 주의를 기울이기를 요청하고 정교하고 적절하게 교육을 받게해 인식이 뛰어난 사용자로 거듭되도록 집중하고있습니다.

따라서 사람들은 소셜 미디어 연락처를 더 신뢰하는 경향이 있기 때문에 사이버 공격자들은 그 부분에 몰두했습니다. 연방 통상 위원회(Federal Trade Commission)는 2020년 초에 소셜 미디어에서 시작된 시점에 사기가 급증했다고 경고했습니다. 사용자도 일자리를 찾을 때 이러한 플랫폼에 적극적으로 참여하고 있습니다. 소셜미디어는 읽거나 볼 관련 콘텐츠는 물론 업계 회의, 직업 등에 대한 정보를 제공합니다. 적극적으로 클릭하기 때문에 클릭하지 말아야 할 항목을 클릭할 가능성이 더 높습니다.

Too hot to handle: 왜 현대 작업이 HEAT 공격을 일으켰는지에서 다루었듯이, 최근 공격 캠페인은 LinkedIn의 메시징 기능과 함께 스피어 피싱을 활용하는 공격자로 구성되었습니다. 이러한 공격자는 악성 링크인 가짜 채용 기회로 사용자를 유인했습니다. 공격자가 대상의 컴퓨터 또는 장치를 완벽하게 제어할 수 있는 멀웨어로 엔드포인트를 손상시키도록 설계되었습니다. 공격자는 사용자가 신뢰하는 브랜드의 사칭 웹사이트를 사용하여 점점 더 지능적으로 그리고 개인적으로 공격하고 있습니다.

이러한 공격은 웹 브라우저를 공격하여 기업이 보유하고 있는 기존의 모든 이메일 보안 방어 체계를 우회합니다.

기존의 악성 링크 분석 우회

이는 위협 행위자가 조직에 대한 HEAT 공격을 활용하는 또 다른 방법입니다. 그들은 일반적으로 이메일을 보호하기 위해 배포되는 악성 링크 분석 엔진을 회피하고 있습니다. 이 엔진은 링크를 사람들에게 전달하기 전에 모든 링크를 분석하여 전달합니다. 링크를 우회하도록 설계된 HEAT 공격을 사용하면 분석 엔진, 사용자는 소셜 미디어 사이트 및 해당 메시징 플랫폼, Discord 또는 Slack과 같은 커뮤니케이션 플랫폼, SMS 등과 같은 다른 커뮤니케이션 영역의 대상이 됩니다. 이 링크를 클릭하면 일반적인 이메일 피싱에 사용되는 링크와 같습니다. 공격 — 로그인 자격 증명을 훔치거나 맬웨어를 배포하도록 설계되었습니다.

공격자는 또한 LinkedIn의 정보와 사용자가 Facebook 또는 Twitter에 게시한 내용을 사용하여 대상 피해자와 연결하고 시간이 지남에 따라 관계를 구축하는 데 사용할 수 있는 특별한 지식을 얻을 수 있습니다. 공격은 빠르고 개인화될 수 있기 때문에 효과적입니다. 사용자와 더 밀접하게 연결된 것처럼 보입니다.

공격자가 정적 및 동적 콘텐츠 검사를 회피하는 방법에 대한 기사에서 자세히 설명한 HTML 밀수 공격을 시작하는 것과 같이 HEAT 공격을 전략적으로 결합할 수 있습니다. 이러한 HEAT 전술을 결합함으로써 디지털 약탈자들은 보안 웹 게이트웨이 및 이메일 모니터링 엔진과 같은 기존 보안 제어 및 기술을 성공적으로 우회할 가능성을 높입니다.

이메일이 (현재로서는) 주요 공격 벡터로 남아 있지만 악성 링크 분석과 같은 기존 방어 수단을 우회하도록 설계된 이러한 HEAT 공격이 증가하고 있습니다. HEAT를 식힐 방법을 찾기 위해 모두 웹에 있는 공격 벡터를 살펴보지 않는 기업은 이러한 위험한 링크 위협을 계속 받게 될 것입니다.

게시자: Mark Guntrip 2022년 2월 15일