HTML 밀수는 합법적인 HTML5 및 JavaScript 기능을 활용하여 뱅킹 멀웨어, 원격 액세스 트로이 목마 (RAT) 및 표적 사이버 보안 공격과 관련된 기타 페이로드를 배포하는 고도로 회피적인 멀웨어 전달 기술입니다.
보안 기술에 대한 지속적인 투자에도 불구하고 기업을 대상으로 한 피싱 및 멀웨어 공격은 계속해서 성공적으로 증가하고 있습니다.특히 브라우저 사용 증가로 인해 인기가 높아진 기술 중 하나는 HTML 밀수입니다.이는 합법적인 HTML5 및 JavaScript 기능을 활용하여 뱅킹 멀웨어, 원격 액세스 트로이 목마 (RAT) 및 표적 사이버 보안 공격과 관련된 기타 페이로드를 배포하는 고도로 회피적인 멀웨어 전달 기술입니다.특히 악명 높은 NOBELIUM 그룹이 표적 스피어 피싱 캠페인을 통해 이 기술을 사용하는 것이 관찰되었습니다.
HTML 밀수는 공격자가 특수 제작된 HTML 첨부 파일 또는 웹 페이지 내에 인코딩된 악성 스크립트를 “밀수”하는 드라이브 바이 다운로드 (Drive-by-Download) (의도하지 않은 악성 코드 다운로드) 의 한 형태입니다.이러한 공격자들은 HTML의 다양한 기능을 이용하고 이를 소셜 엔지니어링과 결합하여 사용자를 속여 악성 페이로드를 열도록 합니다.이러한 공격은 Dropbox, Adobe Acrobat, Google Drive 등 신뢰할 수 있고 잘 알려진 브랜드를 사칭하기 때문에 사용자는 웹 브라우저에서 HTML을 여는 데 대해 의문을 제기할 가능성이 줄어듭니다.
이 기법은 웹 페이지의 HTML 소스에 파일 바이너리를 임베드하는 위협 행위자에 의존합니다.페이지가 렌더링되면 브라우저가 악성 파일을 재구성하고 새로 조합된 멀웨어 실행 파일을 호스트 OS로 전송하며, 기존 프록시의 샌드박스 및 안티바이러스를 비롯한 네트워크 방화벽과 보안 솔루션을 효과적으로 우회합니다.또한 Secure Web Gateway 정책에 의해 차단된 것으로 간주되는 파일 형식은 여전히 HTML을 통해 엔드포인트에 도달할 수 있습니다.
히트체크 보안 평가
웹 프록시, 이메일 게이트웨이, 샌드박스와 같은 기존 보안 솔루션은 일반적으로 기존 서명과 알려진 위협의 패턴 매칭을 기반으로 의심스러운 첨부 파일이나 이상 트래픽만 검사합니다.HTML 밀수는 실행 파일을 인코딩된 텍스트로 변환하고 해당 텍스트를 페이지의 HTML 소스에 포함시켜 검색 불가능하게 만들고 대부분의 경우 검사 엔진에서 읽을 수 없게 만듭니다.파일은 문제가 없어 보이며 검사를 쉽게 통과할 수 있습니다.소스는 합법적으로 보이고 유효한 HTML 및 Javascript 요청처럼 작동하여 사실상 위장하지만 사용자 엔드포인트에서 완전히 실행 가능한 멀웨어로 재구성될 수 있습니다.
HTML 밀수는 중지할 수 있지만 이를 위해서는 브라우저 내부의 가시성과 제어가 필요합니다.클라우드 기반 브라우저 보안과 같은 솔루션은 이러한 웹 요청의 실행을 엔드포인트에서 벗어나 클라우드의 가상 컨테이너로 이동하여 최종 사용자를 악성 콘텐츠로부터 효과적으로 분리하는 데 도움이 될 수 있습니다.격리는 엔드포인트 에이전트가 필요 없고 사용자 성능에 눈에 띄는 영향을 주지 않기 때문에 사용자에게 안전한 브라우징을 제공하는 동시에 최종 사용자에게 불편함 없는 경험을 제공합니다.
