고도의 회피 및 적응형 위협 (HEAT)

고도로 회피적이고 적응력이 뛰어난 위협이란 무엇입니까?

고도의 회피 및 적응형 위협 (HEAT) 은 사이버 보안 위협의 일종으로, 탐지를 피하고 기존 보안 조치를 회피하기 위해 동적 동작, 파일리스 공격, 실행 지연과 같은 정교한 기술을 사용하는 경우가 많습니다.이러한 위협은 감시 범위를 벗어나도록 설계되었으므로 보안 전문가가 식별하고 완화하기가 특히 어려울 수 있습니다.위협 행위자가 사용자 시스템이나 조직의 네트워크에 대한 초기 액세스 성공률을 높이려고 시도함에 따라 한동안 회피 위협이 존재해 왔습니다.기업 보안 통제가 계속 발전하고 있음에도 위협 행위자는 사용자와 시스템에 침투하기 위해 사용하는 회피 기술을 가속화하고 있습니다.

매년 사이버 보안에 대한 지속적인 투자에도 불구하고 위협은 여전히 뚫리고 사용자는 매일 영향을 받습니다.사실 이로 인해 전체 피싱 방지 산업이 탄생했습니다.피싱 위협을 100% 제거할 수 있다면 보안 인식 교육은 오늘날 존재하지 않을 것입니다.간단한 공격 기술은 일반적으로 배포되는 보안 솔루션에 대해 여전히 효과적일 수 있습니다.

결과적으로 업계는 취약성을 줄이기 위해 변화하고 모범 사례를 채택합니다.예를 들어 위협 행위자가 탐지를 회피하고 피해자에게 다가가기 위한 수단으로 매크로를 사용했기 때문에 Microsoft는 기본적으로 모든 매크로를 사용하지 않도록 설정했습니다.기업들은 광범위한 보안 인식 도구에 투자하여 사용자들이 일반적인 맬웨어 수법의 피해를 덜 수 있기를 바라며 맬웨어의 위험과 피싱의 일반적인 징후 (예: 알 수 없는 발신자 주소, 긴급하거나 경고적인 언어, 심지어 잘못된 철자 및 문법 등) 에 대해 교육하는 데 도움을 주고 있습니다.처음 등장했을 때부터 오랫동안 뚫을 수 없는 시스템으로 여겨져 온 2요소/다중 요소 인증도 널리 채택되어 보안 계층을 강화하여 사용자 계정에 대한 무단 액세스나 민감한 정보의 도난으로 인한 변경을 줄일 수 있습니다.

모든 기업 사용자는 웹, 엔터프라이즈 클라우드 및 SaaS 애플리케이션, 심지어 이메일에 액세스할 때 사용하는 브라우저가 하나 이상 있습니다.이로 인해 브라우저는 피싱 및 멀웨어 공격을 가장 많이 받는 공격 대상 중 하나가 되었습니다.안타깝게도 위협 행위자들이 고도로 회피적이고 적응력이 뛰어난 기술을 포함하도록 전술을 발전시키면서 SWG, EDR, 방화벽과 같은 기존 보안 통제는 이러한 공격을 막기에는 역부족입니다.이들은 이러한 일반적인 보안 솔루션의 작동 방식을 매우 낮은 수준에서도 이해하고 우회합니다.따라서 기업의 보안 스택에 대한 투자가 증가하고 있음에도 불구하고 사용자의 노출은 그 어느 때보다 높습니다.

오늘날 공격자들은 웹 브라우저를 공격 벡터로 표적으로 삼는 매우 회피적이고 적응력이 뛰어난 위협을 사용하여 일반적으로 배포되는 보안을 회피하도록 설계된 다양한 기술을 사용합니다.따라서 이러한 고도의 회피 및 적응형 위협은 멀웨어를 퍼뜨리고, 사용자 시스템을 손상시키고, 민감한 데이터를 도용하는 데 사용됩니다.

고도로 회피적인 공격의 몇 가지 예는 다음과 같습니다.

• 암호로 보호된 악성 파일 — 이메일을 스캔할 때 첨부 파일이 암호로 보호되어 있으면 해당 첨부 파일을 열고 스캔할 수 없습니다.대부분의 경우 보안 정책에 따라 이러한 첨부 파일을 스캔하지 않고도 전송하여 생산성이 저하되지 않도록 할 수 있습니다.공격자는 이러한 허점을 이용하여 기업 및 의도한 피해자의 엔드포인트로 멀웨어를 전송합니다.
• HTML 스머글링 — HTML 밀수는 공격자가 악성 파일을 겉보기에 무해해 보이는 작은 정보로 분해하여 웹 사이트 자체의 HTML 코드에 포함시키는 드라이브 바이 다운로드의 한 형태입니다.이렇게 하면 프록시, 샌드박스, 방화벽과 같이 일반적으로 배포되는 보안 솔루션의 탐지를 우회할 수 있습니다.브라우저가 이러한 작은 정보를 수신하면 재조합되어 악성 실행 파일이 최종 사용자의 브라우저에 저장됩니다.HTML 밀수는 공격자가 뱅킹 트로이 목마, 랜섬웨어 및 데이터 정찰 도구를 제공하는 매우 효과적인 방법입니다.
• 다단계 인증 (MFA) 바이패스 — MFA 바이패스는 위협 행위자가 다단계 인증을 우회하는 피싱 공격의 한 형태입니다.승인할 때까지 사용자의 MFA 요청을 폭주시키거나 MFA 토큰 또는 자격 증명을 가로채기도 합니다.거부 목록 작성, URL 필터링, 피싱 교육과 같은 표준 보안 조치는 일반적으로 이러한 공격에 효과적이지 않습니다.설상가상으로 MFA 공격은 일반적으로 기업 보안을 완전히 우회하여 SMS를 통해 전달됩니다.
• 레거시 평판 URL 회피 (루어) — 레거시 URL 평판 회피는 웹 분류를 우회하는 데 사용되는 공격 기법입니다.LURE 공격은 보안 웹 게이트웨이 및 URL 필터에 있는 URL의 바이너리 분류를 악용합니다.SWG 및/또는 URL 필터는 URL 또는 도메인을 신뢰할 수 있거나 신뢰할 수 없는 것으로 표시합니다.위협 행위자는 신뢰할 수 있는 사이트를 하이재킹하거나 새 사이트를 만들고 해당 URL/도메인을 신뢰할 때까지 유휴 상태로 두는 방식으로 이를 이용합니다.이들은 이러한 URL과 대상 사이트를 사용하여 피싱 공격을 시작합니다.사용자는 웹 URL이 진짜라고 믿고 열고 URL이 안전한 범주에 속하므로 SWG 또는 URL 필터에 의해 차단되지 않습니다.이후 사용자는 멀웨어에 감염되거나 자격 증명 도용 공격을 위한 자격 증명을 입력하도록 유도됩니다.설상가상으로 위협 행위자는 무수히 많은 도메인을 보유하게 되며, 현재 사용 중인 도메인이 차단되거나 신뢰할 수 없는 것으로 분류될 경우 즉시 사용할 수 있는 새로운 도메인을 보유하게 됩니다.

일반적으로 배포되는 보안 솔루션을 우회하기 위해 고도로 회피적이고 적응력이 뛰어난 위협에 사용되는 주요 회피 특성은 무엇입니까?

1.URL 필터링을 회피합니다

위에서 설명한 것처럼 LURE 사이트는 위협 행위자가 URL 필터링을 우회할 수 있는 일반적이고 쉬운 방법입니다.또 다른 일반적인 전술은 Captcha를 사용하는 것입니다.보안문자는 웹사이트 관리자가 사이트와 상호작용하는 사람이 사악한 의도를 가진 봇이 아니라 사람인지 확인하기 위해 사용하는 일반적이고 유용한 도구입니다.위협 행위자는 보안 문자를 사용하여 LURE 사이트에 신뢰성을 높이고 사이트를 분류하려는 URL 크롤러를 차단할 수 있습니다.위협 행위자는 피해자가 보안 문자를 보고 사이트가 합법적이라고 가정하여 계획을 세웁니다 (예: “불법 사이트가 왜 보안 문자를 사용할까요?”)뿐만 아니라 보안 문자를 사용하여 URL 크롤러가 LURE 사이트의 의심스러운 콘텐츠를 보지 못하도록 차단할 수도 있습니다.

2.이메일 보안 도구를 피합니다

피싱은 지금까지 100% 이메일 문제였기 때문에 위협 행위자들은 사용자를 공격할 새로운 방법을 찾고 있습니다.위협 행위자들은 이제 회피 기술을 사용하여 피싱 공격을 시작합니다.사용자는 이메일 이외의 통신 채널 (예: 소셜 미디어, 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서 또는 기타 매체) 을 통해 악성 링크로 공격 (또는 공격) 됩니다.멀웨어를 기업 엔드포인트에 전송하여 결과적으로 기업 보안을 우회하기 위해 개인 자격 증명 대신 기업 자격 증명을 도용하는 데 이러한 악성 링크가 점점 더 많이 사용되고 있습니다.

에서 최근 사이버 위협 캠페인, 공격자들은 LinkedIn의 비즈니스 전문가에게 스피어 피싱 수법을 사용했습니다.공격자들은 플랫폼의 다이렉트 메시징 기능을 통해 악성 링크를 이용한 가짜 구인 제안을 제시하여 궁극적으로 사용자를 백도어 트로이 목마로 감염시켜 공격자가 피해자의 컴퓨터에 대한 완전한 원격 제어를 할 수 있게 했습니다.이 스피어 피싱 공격은 이메일 경로에 전혀 나타나지 않았으므로 해당 경로에서 발생할 수 있는 어떤 분석도 회피했습니다.

3.파일 기반 검사를 회피합니다.

기존의 SWG (Secure Web Gateway) 바이러스 백신 또는 샌드박스 솔루션은 일반적으로 알려진 맬웨어 시그니처를 검사하고 파일 실행 및 원격 파일 요청의 의심스러운 동작을 모니터링하여 악성 콘텐츠를 식별하는 데 사용됩니다.

샌드박스를 피하는 것은 샌드박스의 파일 제한보다 큰 대용량 파일이나 스캔할 수 없는 암호로 보호된 아카이브 파일을 보내는 것만큼 간단할 수 있습니다.위협 행위자 측에서 약간의 시행착오를 거쳐야 할 수 있지만 비교적 쉽게 처리할 수 있습니다.위협 행위자는 일반적으로 위에서 설명한 것처럼 HTML 밀수를 사용하여 샌드박싱을 회피합니다.검사 도구를 우회할 수 있는 매우 효과적인 방법입니다.

4.HTTP 콘텐츠/페이지 검사를 회피합니다.

많은 합법적인 웹사이트들이 자신들의 스크립팅 소스 코드를 볼 수 없게 하기 위해 자사의 스크립팅을 난독하게 만들고 있습니다.

또한 위협 행위자는 코드 난독화를 활용하여 브라우저 익스플로잇과 피싱 키트 코드를 전달하고 탐지를 피합니다.그러면 런타임 시 엔드포인트에서 활성 콘텐츠를 실행하는 악성 코드 (일반적으로 Javascript) 가 브라우저에 드러납니다.또한 공격자는 검사 엔진의 시각적 탐지를 피하기 위해 웹 사이트 조작을 통해 변조된 이미지 뒤에 사칭 로고를 숨깁니다.

보안 스택의 인공 지능 — AI가 모델을 학습하는 곳이 중요합니다.

대다수는 아니더라도 많은 보안 공급업체가 인공 지능 (AI) 기반 기능을 활용하여 솔루션의 효율성을 높이고 상당한 성과를 거두고 있습니다.전제는 간단합니다. AI는 개발된 기능을 확장 및 확장하고 생산 데이터와 원격 측정을 검토하여 새로운 위협을 찾아낼 것입니다.이것이 사이버 보안뿐 아니라 다른 산업에서도 AI가 발휘할 수 있는 진정한 가능성입니다.하지만 AI의 성능은 학습된 데이터에 따라 달라진다는 점에 유의하는 것이 중요합니다.일반적인 보안 스택 (방화벽, SWG, CASB, DLP) 은 해당 구성 요소가 생성하는 데이터, 로깅 및 텔레메트리로만 AI 모델을 학습시킬 수 있습니다.브라우저가 공격 대상인 피싱 및 멀웨어/랜섬웨어 공격의 경우 브라우저 내부에서의 원격 측정은 유용할 뿐만 아니라 브라우저 기반 위협을 더 잘 탐지하는 방법을 AI 모델을 교육할 때 필수적입니다.일반적인 보안 스택에는 원격 분석을 수신하고 활용할 수 있는 브라우저 연결 고리가 없기 때문에 AI 솔루션이 제공하는 혜택과 개선 효과는 미미합니다.HEAT 포트폴리오를 지원하는 AI 모델은 Menlo Security의 Isolation Core에서 파생된 심층 브라우저 텔레메트리를 기반으로 학습한 것입니다.이것이 바로 제로 아워 피싱 및 멀웨어 공격을 예방하고 차단하는 데 있어 HEAT Shield 및 HEAT Visibility 기능이 매우 강력하고 효과적인 이유입니다.

제너레이티브 AI는 위협 행위자의 공격 표면을 어떻게 증가시켰습니까?

조직은 ChatGPT와 같은 제너레이티브 AI 플랫폼과 챗봇이 사이버 보안에 미칠 영향을 깨닫기 시작했습니다.당연하게도 많은 사람들은 이러한 도구를 통해 인터넷에 연결되고 악의적인 동기가 있는 사람이라면 누구나 그렇게 할 수 있다는 사실에 불안해하고 있습니다. 놀라운 규모로 회피 위협을 개발합니다..버튼 클릭 한 번으로 수천 개의 개별 표적 멀웨어, 피싱 이메일 및 기타 위협을 생성하고 공개할 수 있다고 상상해 보십시오.훨씬 더 무서운 사실은 위협 행위자가 AI를 사용하여 특정 페이로드 내의 코드 줄을 변경할 수도 있다는 사실입니다. 이로 인해 이전에는 볼 수 없었던 새로운 제로 데이 피싱 및 멀웨어 위협이 지속적으로 생성되어 기업 보안이 이러한 공격을 차단하기가 극히 어렵습니다.

Menlo Security는 고도로 회피적이고 적응력이 뛰어난 위협을 어떻게 방지합니까?

고도로 회피적이고 적응력이 뛰어난 위협 공격에는 세 단계가 있습니다.

1. 초기 발판 확보
2. 추가 시스템에 손상을 줄 수 있다는 희망을 안고 네트워크 전체에 측면 확산
3. 최종 페이로드를 실행하여 중요한 비즈니스 시스템을 제어합니다.

2단계와 3단계는 전적으로 1단계, 즉 초기 액세스 권한 확보에 달려 있습니다.Menlo Security는 고도로 회피적이고 적응력이 뛰어난 위협이 초기 액세스에 도달하기 전에 차단하여 피싱 공격과 멀웨어를 효과적으로 차단하는 데 중점을 둡니다.액세스가 없으면 멀웨어는 네트워크를 통해 확산될 수 없고, 통제권을 획득하거나, 데이터를 유출하거나, 시스템 몸값을 보유할 수 없습니다.