급변하는 엔터프라이즈 보안 세계에서 지난 2년은 그 어느 때보다도 큰 변화를 겪었습니다.원격 근무, 클라우드 마이그레이션, SaaS (Software-as-a-Service) 애플리케이션의 등장은 우리가 비즈니스를 수행하는 방식에 혁명을 일으켰지만 동시에 Pandora의 보안 취약점 상자를 열었습니다.오늘날 지식 근로자에게 가장 중요한 도구인 웹 브라우저를 무기화하는 방법을 터득한 새로운 유형의 공격자가 등장했습니다. 고도로 회피적인 적응형 위협 (HEAT) 이들은 브라우저를 손상시키고, 엔드포인트에 대한 초기 액세스 권한을 얻고, 궁극적으로는 랜섬웨어나 멀웨어와 같은 위협을 배포하는 데 활용하고 있습니다. 탐지를 회피하는 능력은 타의 추종을 불허합니다.
탐지를 회피하고 엔드포인트에 악성 페이로드를 가져오는 기능을 고려할 때 HEAT 공격과 지능형 지속 위협 (APT) 을 혼동하는 것은 쉬운 실수입니다.하지만 둘 사이에는 중요한 차이점이 있으며 공격 킬 체인의 완전히 다른 단계에서 작동합니다.
그렇다면 HEAT 공격은 APT와 정확히 어떻게 다른가요?저희는 최근에 사이버 보안 전략 담당 수석 이사인 Mark Guntrip과 만나 그 진상을 파악했습니다.인터뷰에서 Mark는 HEAT 공격과 APT가 작동하는 방식, 위협 행위자들이 이를 공격에 함께 사용하는 방식, 이러한 공격을 방어할 때 주의해야 할 약점에 대해 심층적으로 살펴보았습니다.
자세한 내용은 거기 이름에 있는 것 같은데, 그렇죠?고도로 회피적인 적응형 위협 (HEAT) 을 살펴보면, 볼륨별로 보면 수많은 위협이 존재합니다.하지만 위협 행위자에게 가장 중요한 것은 성공 가능성을 극대화하는 것입니다.이름에 사용된 두 가지 주요 설명어는 회피적이고 적응력이 뛰어나며 공격자의 입장에서는 매우 중요합니다.그들은 탐지를 피하기 위해 가능한 한 회피적으로 행동하기를 원합니다.
즉, 일반적으로 사용되는 특정 기술이나 보안 기술을 우회하는 방법을 이해하고 있다는 뜻입니다.이메일의 피싱 탐지든 샌드박싱이든 관계없이 조직을 보호하기 위해 마련된 '표준' 기술의 수준은 어느 정도 이해되는 수준입니다.그리고 이러한 유형의 탐지를 피할 수 있다는 사실을 안다면 더 높은 수준의 성공을 거둘 수 있습니다.
그런 다음 회피성을 유지하기 위해 시간이 지남에 따라 어떻게 변하는지를 알아낼 수 있습니다.좋은 예가 하나 있습니다. URL 평판 회피공격자들은 콘텐츠 및 멀웨어로 가득 찬 도메인을 빠르게 등록하고 밀어내는 대신 URL 평판 시스템이 사이트의 악성 여부를 찾아내는 방식에 적응하고 합법적인 것으로 분류될 것으로 판단되는 방식으로 행동합니다.공격자는 도메인을 사용하기 전에 일정 시간 동안 도메인을 등록하여 새로운 도메인이 아니게 만듭니다.그런 다음 관련성이 높고 주제가 비슷한 콘텐츠로 도메인을 채워 특정 방식으로 분류합니다.그런 다음 사이트가 정상이라고 판단되면 공격에 사용할 수 있습니다.URL 평판 솔루션 또는 엔진이 변경되면 이를 모니터링하여 HEAT 공격에 사용하기 전에 해당 웹 사이트에서 수행하는 작업을 변경할 수 있습니다.
또 다른 중요한 점은 이 모든 것이 전부라는 것입니다. 초기 액세스.이것은 반드시 새로운 종류의 멀웨어가 아닙니다.이는 매우 효과적인 방식으로 악성 콘텐츠를 대상 컴퓨터에 가져오는 방법입니다.따라서 랜섬웨어든, 키로거든, 다른 유형의 맬웨어든 상관없이 HEAT 공격을 사용하여 이를 공격합니다.
우선, 공격의 양입니다.일반적으로 위협은 증가하고 있지만 HEAT 공격을 살펴보고 이러한 공격이 사용되는 빈도를 측정해 보면 이러한 공격도 증가하고 있습니다.일부 사람들은 HEAT 공격에 대해 신경 쓰지 않을 수도 있고, 그렇다고 분류하지 않을 수도 있습니다.그들에게는 여전히 문제가 있습니다.
그들이 관심을 가져야 할 또 다른 중요한 점은 RaaS (Ransomware as a Service) 운영자가 HEAT 공격을 사용하여 쉽게 이익을 얻을 수 있는 방법이라고 생각합니다. 초기 액세스.일부 사이버 범죄자의 전체 비즈니스 모델은 처음에 가능한 한 많은 네트워크에 액세스하고 결국에는 멀웨어를 해당 네트워크에 배포하려는 사람에게 판매하는 것입니다.한 사람에게만 판매하는 것이 아니라 여러 사람에게 판매하기 때문에 보안 침해의 영향이 배가됩니다.단 한 번의 침해로 인해 5명, 10명, 100명 또는 그 이상의 위협 행위자가 해당 네트워크에 멀웨어를 설치할 수 있습니다.따라서 눈에 띄지 않을 수도 있고 아무 일도 일어나지 않아서 느끼지 못할 수도 있습니다. 하지만 정말 신경 써야 하고 악의적인 공격으로부터 보호해야 합니다.
APT는 탐지할 수 없도록 설계된 위협 클래스입니다.일단 네트워크에 침투하면 가능한 한 오랫동안 그곳에 머물면서 위협 행위자가 해당 위협에 대해 원하는 모든 조치를 취하도록 설계되었습니다. 이리저리 데이터를 찾고, 데이터를 훔치거나, 자격 증명을 도용하거나, 랜섬웨어를 배포하는 것까지 말이죠.국가 또는 주에서 후원하는 단체에서는 고부가가치 표적을 노릴 때 사용하며, 최근에는 이 용어가 일부 크라임웨어 그룹을 포함하기 위해 더 광범위하게 사용되고 있습니다.
HEAT 공격은 초기 액세스 피스가 네트워크에 침투하는 데 사용되며, 이후 APT를 배포할 수 있습니다.그러니까 이 둘은 거의 같은 동전의 양면이거나 같은 프로세스의 두 부분인 셈이죠.HEAT 공격을 통해 대상 네트워크에 액세스할 수 있습니다. 그러면 APT가 가서 원하는 대로 피해를 입힐 수 있습니다.HEAT 공격 자체는 아무런 피해를 주지 않으며 피해를 입히는 대상을 전달합니다.저는 이것이 이 둘의 가장 큰 차이점이라고 생각합니다.하지만 이것들을 반드시 구별되고 분리된 것으로 생각해서는 안 됩니다. 한데 모아서 같은 공격에 사용할 수도 있기 때문이죠.예를 들어, 노벨리움 공격이 사용되었습니다. HTML 스머글링이는 피해자에게 APT를 전달하는 것이 HEAT의 특징입니다.이 두 가지를 서로 겹치거나 분리하지 않고 함께 사용하는 좋은 예라고 할 수 있습니다.
여기서 중요한 것 중 하나는 하이브리드 작업을 바라보는 것입니다. 휴대폰이든 다른 것이든 회사 네트워크에 연결된 모든 장치에서 원격으로 작업하는 사람들은 모두 단일 시스템처럼 취급되어야 합니다.Mac을 사용하는 경우 iCloud에 연결되어 있기 때문에 소비자 또는 전문가로서 개인적으로 당신을 공격하는 모든 것이 당신의 회사 기기로 전달될 수 있습니다.
특히 HEAT 공격과 관련하여 이러한 잠재적 노출의 영향은 엄청날 수 있습니다.HEAT는 초기 액세스가 전부라는 사실을 다시 말씀드리자면, 누군가 제 개인용 디바이스에 처음 액세스할 수 있게 된다면, 저는 그것을 그렇게 부르겠습니다. 관리되지 않는 디바이스—기업 리소스에 액세스하는 데 사용할 수 있습니다.이는 엄청난 문제인데, 적어도 동일한 권한을 가진 기업 소유 디바이스에 초기 액세스 권한을 갖는 것과 거의 똑같거나 똑같이 나쁜 일이죠.
알아야 할 또 다른 중요한 점은 사물의 적응적 측면입니다.분명히 상황이 바뀔 것입니다.공격자들은 조직의 보안을 위해 마련된 기술을 속이는 데 점점 더 능숙해지고 있습니다. 또한 위협을 활성화하기 위해 링크를 클릭하고 파일을 다운로드하는 데 사용되는 사람을 속이는 데도 사용되고 있습니다.따라서 시간이 흐르면서 HEAT 공격에서 무엇을 찾아야 하고 어떻게 작동하는지에 대한 더 많은 교육이 필요할 뿐만 아니라 HEAT 공격이 들어오려고 할 때 어떤 모습일지에 대한 가시성 제어도 개선되어야 한다고 생각합니다.그래서 예방에 대해 많이 이야기하지만 탐지 수준도 더 높아야 한다고 생각합니다.
세 번째로, 이것이 가장 중요할 수 있는 것은 브라우저에 대한 가시성입니다.웹 트래픽에는 HEAT 공격이 존재합니다.이러한 공격은 브라우저에 존재하며, 브라우저가 엔드포인트에 있더라도 엔드포인트 보안 솔루션이 반드시 브라우저 내부의 상황을 파악할 수 있는 것은 아닙니다.브라우저 내부에는 스크립트를 실행하고 코드를 실행할 수 있는 매우 강력한 플랫폼이 있습니다.어떤 일이 일어나기 전에 애플리케이션 안에서 이 모든 작업을 수행할 수 있습니다.이는 엄청난 잠재적 사각 지대입니다.브라우저는 사각지대일 뿐만 아니라 가장 표적화된 액세스 포인트이기도 합니다.
우리는 브라우저에서 온라인에서 많은 시간을 보냅니다.모든 디바이스에는 브라우저가 있습니다. 아마도 디바이스보다 브라우저가 더 많을 것입니다.가장 널리 배포된 엔터프라이즈 애플리케이션입니다.우리는 브라우저를 사용하여 웹사이트뿐만 아니라 애플리케이션까지 모든 것에 액세스합니다.브라우저는 우리가 생활하고 업무를 수행하는 데 사용하는 모든 것을 아우릅니다. 하지만 엔드포인트 탐지 및 대응 (EDR) 과 같은 기존 보안 솔루션의 경우 이는 가시성 블랙홀입니다.꼭 그럴 필요는 없습니다.
