HTML 스머글링

HTML 스머핑이란 무엇인가요?

보안 기술에 대한 지속적인 투자에도 불구하고 피싱 및 멀웨어 공격은 계속해서 기업을 대상으로 성공적으로 이루어지고 있습니다. 특히 브라우저 사용 증가로 인해 인기가 높아진 기법 중 하나는 HTML 스머핑입니다. 이는 합법적인 HTML5 및 JavaScript 기능을 활용하여 뱅킹 멀웨어, 원격 액세스 트로이목마(RAT) 및 기타 표적 사이버 보안 공격과 관련된 페이로드를 배포하는 매우 회피하기 쉬운 멀웨어 전달 기법입니다. 특히, 이 기법은 악명 높은 노벨리움 그룹이 표적 스피어 피싱 캠페인을 통해 사용하는 것으로 관찰되었습니다.

HTML 스머핑은 어떻게 작동하나요?

HTML 스머징은 공격자가 특수하게 제작된 HTML 첨부 파일 또는 웹 페이지 내에 인코딩된 악성 스크립트를 “스머징”하는 드라이브 바이 다운로드(의도하지 않은 악성 코드 다운로드)의 한 형태입니다. 이러한 공격자는 HTML의 다재다능함을 이용하고 이를 소셜 엔지니어링과 결합하여 사용자를 속여 악성 페이로드를 열도록 유도합니다. 이러한 공격은 Dropbox, Adobe Acrobat, Google Drive 등 신뢰할 수 있고 잘 알려진 브랜드를 사칭하기 때문에 사용자는 웹 브라우저에서 HTML을 열어보는 것에 의문을 제기하지 않습니다.

이 기법은 위협 행위자가 웹 페이지의 HTML 소스에 파일 바이너리를 삽입하는 데 의존합니다. 페이지가 렌더링되면 브라우저는 악성 파일을 재구성하고 새로 조립된 멀웨어 실행 파일을 호스트 OS로 전송하여 네트워크 방화벽과 레거시 프록시의 샌드박스 및 안티바이러스를 포함한 보안 솔루션을 효과적으로 우회합니다. 또한 보안 웹 게이트웨이 정책에 의해 차단된 것으로 추정되는 파일 유형도 HTML을 통해 엔드포인트에 도달할 수 있습니다.

기업이 취약한 이유는 무엇일까요?

웹 프록시, 이메일 게이트웨이, 샌드박스와 같은 기존 보안 솔루션은 일반적으로 기존 시그니처와 알려진 위협의 패턴 매칭을 기반으로 의심스러운 첨부 파일이나 비정상적인 트래픽만 검사합니다. HTML 스머핑은 실행 파일을 인코딩된 텍스트로 변환하고 해당 텍스트를 페이지의 HTML 소스에 삽입하여 탐지할 수 없게 만들고, 대부분의 경우 검사 엔진이 읽을 수 없게 만듭니다. 이 파일은 무해해 보이며 검사를 쉽게 통과합니다. 소스는 합법적으로 보이고 유효한 HTML 및 자바스크립트 요청처럼 동작하여 효과적으로 위장하지만, 사용자 엔드포인트에서 완전히 실행 가능한 멀웨어로 재조립될 수 있습니다.

HTML 스머핑을 차단하려면 어떻게 해야 하나요?

HTML 스머핑은 차단할 수 있지만 이를 위해서는 브라우저 내부에 대한 가시성과 제어가 필요합니다. 클라우드 기반 브라우저 보안과 같은 솔루션은 이러한 웹 요청의 실행을 엔드포인트에서 클라우드의 가상 컨테이너로 이동하여 최종 사용자를 악성 콘텐츠로부터 효과적으로 분리하는 데 도움이 될 수 있습니다. 엔드포인트 에이전트가 필요하지 않고 사용자 성능에 눈에 띄는 영향을 미치지 않는 격리는 사용자에게 안전한 브라우징을 제공하는 동시에 최종 사용자에게 불편함 없는 경험을 선사합니다.