고도로 회피적이고 적응적인 위협 (HEAT)

고도로 회피적이고 적응적인 위협이란?

HEAT(Highly Evasive and Adaptive Threats)는 탐지를 피하고 기존 보안 조치를 회피하기 위해 동적 동작, 파일리스 공격 및 지연된 실행과 같은 정교한 기술을 나타내는 사이버 보안 위협 유형입니다. 이러한 위협은 눈에 띄지 않도록 설계되었으며 보안 전문가가 식별하고 완화하는 데 특히 어려울 수 있습니다. 위협 활동가가 사용자 시스템이나 조직 네트워크에 대한 초기 액세스 성공률을 높이려고 시도함에 따라 한동안 회피형 위협이 존재했습니다. 기업 보안 제어가 계속해서 발전하는 동안에도 위협 행위자는 사용자와 시스템에 침투하려는 시도에 사용되는 회피 기술을 가속화합니다.

매년 사이버 보안에 대한 지속적인 투자에도 불구하고 위협은 계속 발생하고 사용자는 매일 영향을 받습니다. 사실 이것 때문에 피싱 방지 산업 전체가 생겨났습니다. 피싱 위협을 100% 제거할 수 있다면 오늘날 보안 인식 교육은 존재하지 않을 것입니다. 간단한 공격 기술은 일반적으로 배포된 보안 솔루션에 대해 여전히 효과적일 수 있습니다.

결과적으로 업계는 취약성을 덜기 위해 모범 사례를 변경하고 채택합니다. 예를 들어 위협 행위자가 감지를 피하고 피해자에게 도달하기 위한 수단으로 매크로를 사용했기 때문에 Microsoft는 기본적으로 모든 매크로를 비활성화했습니다. 회사는 사용자가 넘어질 가능성이 줄어들기를 바라며 알 수 없는 발신자의 주소, 긴급하거나 경고하는 언어, 심지어 잘못된 맞춤법 및 문법과 같은 맬웨어의 위험과 피싱의 일반적인 징후에 대해 사용자를 교육하는 데 도움이 되는 광범위한 보안 인식 도구에 투자했습니다. 일반적인 맬웨어 체계의 피해자입니다. 처음 출시된 이후 오랫동안 뚫을 수 없는 시스템으로 여겨져 온 2단계/다단계 인증조차도 사용자 계정에 대한 무단 액세스 변경이나 민감한 정보의 도난을 줄이기 위해 추가 보안 계층을 추가하기 위해 널리 채택되었습니다.

모든 엔터프라이즈 사용자는 웹, 엔터프라이즈 클라우드 및 SaaS 애플리케이션, 심지어 이메일에 액세스하는 데 사용하는 브라우저가 하나 이상 있습니다. 이로 인해 브라우저는 피싱 및 맬웨어 공격을 탑재하는 가장 인기 있는 대상 중 하나가 되었습니다. 불행히도 SWG, EDR 및 방화벽과 같은 기존 보안 제어는 이러한 공격을 막지 못했습니다. 위협 행위자가 고도로 회피적이고 적응적인 기술을 포함하도록 전술을 발전시켰기 때문입니다. 그들은 이러한 일반적인 보안 솔루션이 작동하는 방식을 매우 낮은 수준에서 이해하고 해결합니다. 따라서 기업이 보안 스택에 투자를 늘리고 있음에도 불구하고 사용자는 그 어느 때보다 더 많이 노출되어 있습니다.

웹 브라우저를 공격 벡터로 목표로 하는 고도로 회피적이고 적응적인 위협은 오늘날 일반적으로 배치된 보안을 회피하도록 설계된 다양한 기술을 사용하기 위해 사용됩니다. 결과적으로 이러한 고도로 회피적이고 적응적인 위협은 멀웨어를 전달하고 사용자 시스템을 손상시키며 민감한 데이터를 훔치는 데 사용됩니다.

고도로 회피 가능한 공격의 예는 다음과 같습니다:

• 악의적인 암호로 보호된 파일 – 전자 메일이 검색되면 첨부 파일이 암호로 보호되면 열고 검색할 수 없습니다. 대부분의 경우 보안 정책을 통해 이러한 첨부 파일을 검색하지 않고도 전송하여 생산성을 방해하지 않도록 할 수 있습니다. 공격자는 이 허점을 이용하여 기업과 피해자가 의도한 엔드포인트로 악성 프로그램을 전송합니다.
• HTML 밀수 – HTML 밀수는 드라이브 바이 다운로드의 한 형태로, 공격자가 악의적인 파일을 겉보기에는 양호한 정보의 작은 비트로 분해하여 웹 사이트의 HTML 코드에 포함시킵니다. 이렇게 하면 프록시, 샌드박스 및 방화벽과 같은 일반적으로 배포되는 보안 솔루션에 의한 탐지를 우회할 수 있습니다. 브라우저가 수신하면 이러한 작은 정보가 다시 조립되고 악의적인 실행 파일이 최종 사용자의 브라우저 내부에 있게 됩니다. HTML 밀수는 공격자가 은행 트로이 목마, 랜섬웨어 및 데이터 정찰 도구를 전달하는 데 매우 효과적인 방법입니다.
• MFA(Multi-factor Authentication) 우회 – MFA 우회는 위협 행위자가 다중 요소 인증을 회피하는 피싱 공격의 한 형태입니다. 사용자가 승인할 때까지 MFA 요청을 쇄도하거나 MFA 토큰 또는 자격 증명을 가로채는 것입니다. 이러한 공격에 대해 거부 목록 작성, URL 필터링 및 피싱 교육과 같은 표준 보안 조치는 일반적으로 효과적이지 않습니다. 더욱이 MFA 공격은 일반적으로 SMS를 통해 전달되어 기업 보안을 완전히 우회합니다.
• LURE(Legacy Reputation URL 회피) – LURE(Legacy URL Reputation 회피)는 웹 분류를 우회하는 데 사용되는 공격 기술입니다. LURE 공격은 보안 웹 게이트웨이 및 URL 필터의 URL 이진 분류를 이용합니다. SWG 및/또는 URL 필터는 URL 또는 도메인을 신뢰할 수 있거나 신뢰할 수 없는 것으로 플래그를 지정합니다. 위협 행위자는 이를 이용하여 신뢰할 수 있는 사이트를 하이재킹하거나, 새 사이트를 생성하고 해당 URL/도메인을 신뢰할 때까지 휴면 상태로 둡니다. 이러한 URL 및 대상 사이트를 사용하여 피싱 공격을 시작합니다. 사용자는 웹 URL을 정품이라고 믿고 열며, 해당 URL이 안전한 범주에 있기 때문에 SWG 또는 URL 필터에 의해 차단되지 않습니다. 사용자는 이후 악성 프로그램으로 전복되거나 자격 증명 도용 공격을 위한 자격 증명을 입력하도록 유도됩니다. 더 나쁜 것은 위협 행위자는 현재 사용 중인 도메인이 차단되거나 신뢰할 수 없는 것으로 분류되면 즉시 사용할 수 있는 수많은 도메인을 보유하게 됩니다.

일반적으로 배포되는 보안 솔루션을 우회하기 위해 고도로 회피적이고 적응적인 위협에 사용되는 주요 회피 특성은 무엇입니까?

1. URL 필터링 회피

전술한 바와 같이 LURE 사이트는 위협 행위자가 URL 필터링을 우회하는 일반적이고 쉬운 방법입니다. 또 다른 일반적인 전술은 캡차를 사용하는 것입니다. 캡차는 웹 사이트 관리자가 사이트와 상호 작용하는 사람이 악의적인 의도를 가진 봇이 아니라 인간이라는 것을 확인하기 위해 사용하는 일반적이고 유용한 도구입니다. 위협 행위자는 캡차를 사용하여 LURE 사이트에 신뢰성을 더할 수 있을 뿐만 아니라 사이트를 분류하려는 URL 크롤러를 막을 수 있습니다. 위협 행위자는 피해자가 캡차의 존재를 보고 사이트가 합법적이라고 가정(“왜 불법 사이트가 캡차를 괴롭히겠는가?”라는 생각)할 뿐만 아니라 캡차를 사용하여 URL 크롤러가 LURE 사이트의 의심스러운 내용을 보지 못하도록 차단할 계획입니다.

2. 전자 메일 보안 도구 회피

피싱은 역사적으로 100% 이메일 문제였기 때문에 위협 요소는 사용자를 공격할 수 있는 새로운 방법을 찾고 있습니다. 위협 요소는 이제 피싱 공격을 탑재하기 위해 회피 기술을 사용합니다. 사용자는 소셜 미디어, 전문 웹 네트워크, 협업 애플리케이션, SMS, 공유 문서 또는 기타 매체와 같은 이메일 이외의 통신 채널을 통해 악성 링크를 공격 대상으로 삼고(또는 창으로) 있습니다. 이러한 악성 링크는 점점 더 개인 자격 증명 대신 기업 자격 증명을 훔치는 데 사용되어 기업 보안을 우회합니다.

최근 사이버 위협 캠페인에서 공격자들은 링크드인에서 비즈니스 전문가들에게 스피어 피싱 전술을 사용했습니다. 플랫폼의 직접 메시징 기능을 통해 공격자들은 악성 링크를 사용하여 궁극적으로 공격자들에게 피해자의 컴퓨터에 대한 완벽한 원격 제어를 제공하는 백도어 트로이 목마로 사용자들을 감염시키는 가짜 일자리 제안을 제시했습니다. 이 스피어 피싱 공격은 이메일 경로에 나타나지 않았으며 그곳에서 발생했을 어떤 분석도 피했습니다.

3. 파일 기반 검사 회피

기존의 SWG(Secure Web Gateway) 안티바이러스 또는 샌드박스 솔루션은 일반적으로 알려진 멀웨어 서명을 검색하고 의심스러운 동작에 대한 파일 실행 및 원격 파일 요청을 모니터링하여 악성 콘텐츠를 식별하는 데 사용됩니다.

샌드박스를 피하는 것은 큰 파일을 보내는 것처럼 간단할 수 있는데, 이 파일은 샌드박스의 파일 제한보다 크거나 스캔할 수 없는 암호로 보호된 아카이브 파일일 수도 있습니다. 위협 행위자 측에서는 약간의 시행착오가 필요할 수 있지만 비교적 쉽게 달성할 수 있습니다. 위협 행위자는 일반적으로 HTML 밀수를 사용하여 샌드박스를 회피합니다(위에서 설명한 대로). 검사 도구를 통과하는 것이 매우 효과적인 방법입니다.

4. HTTP 콘텐츠/페이지 검사 회피

스크립팅 소스 코드를 볼 수 없도록 스크립팅을 난독화하는 합법적인 웹 사이트가 많이 있습니다.

위협 행위자는 또한 코드 난독화를 활용하여 브라우저 악용 및 피싱 키트 코드를 전달하고 탐지를 피할 수 있습니다. 그런 다음 엔드포인트에서 활성 콘텐츠를 실행하는 런타임에 브라우저에 악성 코드(일반적으로 자바스크립트)가 드러납니다. 공격자는 또한 웹 사이트 조작을 사용하여 검사 엔진에서 시각적 탐지를 피하기 위해 가장한 로고를 변형된 이미지 뒤에 숨깁니다.

보안 스택의 인공 지능 – AI가 모델을 훈련하는 곳이 중요합니다

보안 공급업체의 대다수는 아니더라도 많은 업체들이 인공지능(AI) 기반 기능을 활용하여 솔루션 효율성을 높이고 상당한 결과를 얻고 있습니다. 전제는 간단합니다. AI는 개발된 기능을 기반으로 확장하고 확장하며 운영 데이터와 원격 측정을 통해 새로운 위협을 찾을 것입니다. 이것이 사이버 보안과 다른 산업 분야에서 AI의 진정한 약속입니다. 그러나 AI는 훈련 받은 데이터만큼만 우수하다는 점에 유의해야 합니다. 공통 보안 스택 – 방화벽, SWG, CASB, DLP – 은 해당 구성 요소가 생성하는 데이터, 로깅 및 원격 측정을 통해 AI 모델을 훈련시킬 수 있습니다. 대상이 브라우저인 피싱 및 멀웨어/랜섬웨어 공격의 경우 브라우저 내부에서의 원격 측정은 유용할 뿐만 아니라 브라우저 기반 위협을 더 잘 탐지하는 방법에 대해 AI 모델을 훈련시킬 때 필수적입니다. 공통 보안 스택은 해당 원격 측정을 수신하고 활용할 수 있는 브라우저 연결고리가 없기 때문에 AI 솔루션은 점진적인 이익과 개선을 무시하는 수준에 불과합니다. HEAT 포트폴리오에 전원을 공급하는 AI 모델은 멘로 시큐리티의 Isolation Core에서 파생된 딥 브라우저 원격 측정에 대해 훈련하고 있습니다. 이것이 HEAT Shield 및 HEAT Visibility를 0시간 피싱 및 멀웨어 공격을 방지하고 차단하는 데 매우 강력하고 효과적으로 만드는 것입니다.

생성 AI는 어떻게 위협 행위자의 공격 표면을 늘렸습니까?

조직들은 ChatGPT와 같은 생성 AI 플랫폼과 챗봇이 사이버 보안에 미칠 영향을 깨닫기 시작했습니다. 많은 사람들이 이러한 도구들이 인터넷 연결과 악의적인 동기를 가진 누구나 놀라운 규모로 회피 위협을 개발할 수 있도록 할 것이라고 걱정하고 있습니다. 버튼을 클릭하는 것만으로 몇 분 안에 수천 개의 개별적으로 목표로 하는 악성 프로그램, 피싱 이메일 및 기타 위협을 생성하고 방출할 수 있다고 상상해 보십시오. 더 무서운 것은 위협 행위자들이 AI를 사용하여 특정 페이로드 내의 코드 라인을 변경하여 제로 데이 피싱 및 악성 프로그램 위협의 연속적인 스트림을 생성하여 엔터프라이즈 보안이 이러한 공격을 차단하는 것을 극도로 어렵게 만들 수 있다는 사실입니다.

Menlo Security는 고도로 회피적이고 적응적인 위협을 어떻게 방지합니까?

고도로 회피적이고 적응적인 위협 공격에는 다음과 같은 세 단계가 있습니다:

1. 초기 발판 확보
2. 추가적인 시스템의 성능 저하를 기대하며 네트워크 전체로 가로 방향으로 확산
3. 최종 페이로드를 실행하여 중요한 비즈니스 시스템을 제어합니다.

2단계와 3단계는 1단계에 전적으로 의존하며 초기 액세스를 얻습니다. Menlo Security는 초기 액세스에 성공하기 전에 고도로 회피적이고 적응적인 위협을 차단하여 피싱 공격과 악성 프로그램을 효과적으로 차단하는 데 중점을 둡니다. 액세스 없이는 악성 프로그램이 네트워크를 통해 퍼지거나 제어권을 얻거나 데이터를 유출하거나 시스템 몸값을 보류할 수 없습니다.