Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan
Most Searched
기존 보안 접근 방식은 보안 팀 내부에 계속적으로 결함이 발생되고 이에 대한 막대한 비용이 많이 발생합니다. 멘로시큐리티는 다름을 제안합니다. 작업을 보호하는 가장 간단하고 확실한 방법은 온라인 위협을 사용자 및 비즈니스와 연결시키지않고 격리하는 것입니다.
eBook
Our platform invisibly protects users wherever they go online. So threats are history and the alert storm is over.
Data Sheet
Traditional network security wasn’t built to address today’s complex enterprise environments. SASE fixes that problem
Solution Brief
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise. The collective is made up of elite security researchers that put a spotlight on the threats you know and don’t know about.
Live Webinars
Menlo Labs provides insights, expertise, context and tools to aid customers on their journey to connect, communicate and collaborate securely without compromise.
Menlo Labs | May 05, 2022
Share this article
모든 것은 Menlo Labs이 사용자 이름과 비밀번호가 있는 공개 디렉토리를 발견했을 때 시작되었습니다. 웹 서버의 내용을 살펴보니 이것이 단일 캠페인의 결과임을 확인했습니다. 이 캠페인은 상당히 성공적이었으며, 다양한 회사의 164명의 사용자 인증 정보를 침해할 수 있었습니다. 이 글에서 설명하는 위협 활동은 현재의 전통적인 보안 조치를 쉽게 우회할 수 있는 고도로 회피적 적응 위협(HEAT)으로 간주됩니다.
이 키트를 분석하는 과정에서 우리는 “DH4 VIP3R L337″이라는 독특한 문자열을 발견했습니다. 이것이 바로 이 특정 키트와 행위자에 대해 더 알아보려는 우리의 탐구를 시작하게 한 것입니다.
우리가 찾아낼 답변을 구하려고 했던 질문들은 다음과 같습니다:
나쁜 행위자들의 작전 방식은 이메일을 통해 잠재적 희생자들에게 HTML 첨부 파일을 보내는 것입니다. 대부분의 안전한 이메일 게이트웨이(SEG)는 특정 파일 유형에 대한 기본 차단을 갖추고 있지만, HTML 첨부 파일은 이런 수준의 방어에서 제외됩니다. 이는 많은 대형 금융 회사들이 암호화된 이메일을 보내고, 사용자들이 먼저 등록하고 계정을 만들어 메시지를 안전하게 볼 수 있도록 하는데, 이런 암호화된 이메일들이 보통 HTML 첨부 파일의 형태를 띄고 있기 때문입니다.
다음 스크린샷(그림 1)은 사용자가 악성 HTML 첨부 파일을 열었을 때 사용자에게 표시되는 것의 예시입니다.
우리의 연구 결과, 공격자들이 대상 회사에서 사용하는 서비스에 따라 유인수를 신중하게 선택하고 맞춤화하고 있다는 것을 알 수 있습니다. 총 147개의 독특한 유인수가 공격자들에 의해 사용되었습니다. 유인수는 사이버 보안 회사부터 금융 서비스에 이르기까지 다양한 범위를 포함했습니다.
사용자가 제출한 인증 정보는 ajax XHR 요청을 사용하여 공격자의 CnC로 전송됩니다. JCyberSec이 서버 측 코드를 보내준 덕분에, 우리는 전체 공격 과정을 재구성하고 캠페인의 기능을 상세하게 파악할 수 있었습니다. 공격자는 피해자가 제출한 인증 정보를 확인하는 독특한 방법을 가지고 있습니다.
공격의 흐름은 다음과 같습니다:
우리는 초기 HTML 첨부 파일이 이러한 HTML 페이로드를 자동으로 생성하는 키트를 사용하여 생성되는 것으로 생각한다. Menlo Labs 연구자들은 키트를 찾기 위해 상당한 시간을 들였지만 결국 찾지 못했습니다. 이러한 페이로드 생성 키트에 대해 알고 있는 연구자가 있다면, 이들 페이로드 생성 키트가 어떻게 작동하는지 알아보기 위해 협력하고 싶습니다. 그러나 추가적인 세부 사항이 없는 한, 우리는 이 페이로드 생성 키트를 VIP3R_L33T Generator로 추적하고 있습니다.
위의 그래프는 DH4_VIP3R_L33T가 사용한 인프라를 보여줍니다. 전체 그래프는 여기서 공개적으로 이용할 수 있습니다.
인증 정보가 전송된 대부분의 도메인은 NameCheap 도메인 등록 서비스를 사용하여 등록되었습니다. 이 서비스는 도메인 등록자에게 저렴하고 개인적인 서비스를 제공하여 도메인을 등록한 사람에 대한 세부 정보를 숨길 수 있습니다.
다음은 공격자들이 사용한 명칭입니다:
인증 정보 피싱은 여전히 고객을 통해 볼 수 있는 가장 큰 공격입니다. 지역과 산업 수직 분야에 걸쳐 모든 고객이 이 벡터로 인해 영향을 받았습니다. 우리 플랫폼에서 볼 수 있는 공격 중 약 22%가 인증 정보 피싱 공격이며, 이러한 공격 중 7%는 기존의 URL 평판 엔진에 의해 감지되지 않습니다. 이러한 기존 URL 평판 회피 기술은 Menlo Labs 연구팀이 LURE로 지칭하는 것으로, 고도로 회피적 적응 위협(HEAT)에서 발견되는 네 가지 회피 기술 중 하나입니다. Menlo Labs 팀은 인지 편향을 이용하는 HEAT 공격의 급격한 증가를 관찰했으며, 이로 인해 우리는 인증 정보를 입력하도록 속아 넘어갑니다. 이 편향과 공격자들이 사용하는 전략이 결합되어 이러한 공격이 매우 성공적입니다. 사이버 보안 인식을 높이는 교육 및 교육 활동을 통해 자격 증명 인증서(credential) 피싱 공격의 영향을 줄이는 데 도움이 되지만, 기업 사용자들은 개인 정보나 민감한 정보를 요청하는 양식을 제시하는 사이트에 대해 항상 조심해야 합니다.
Posted by Menlo Labs on May 05, 2022
Tagged with HEAT, Menlo Labs
Threat Research
궁금하신 내용이 있거나 비즈니스 상담을 원하시는 경우 양식을 제출하여 멘로 시큐리티 전문가에게 상담받으세요.