2022년 12월 12일
작성자: 크리스토프 알메 & 마틴 스테처 - 소프트웨어 엔지니어링, Skyhigh Security & 수석 아키텍트, Skyhigh Security
조직은 대응형 보안 모델로는 오늘날 위협 환경의 규모와 복잡성을 따라잡을 수 없는 공격 표면이 계속 증가하고 있는 상황에 대처해야 합니다. 새로운 위협은 하루에 수만 건을 넘어섰으며, 단일 조직에 고유한 멀웨어가 대량으로 발생하고 있습니다. 조직의 문 또는 네트워크에 침입하기 위한 가장 중요한 교두보는 소셜 엔지니어링과 패치되지 않은 취약점의 악용입니다. 대부분의 경우 이러한 공격은 오늘날 가장 큰 수익을 창출하는 랜섬웨어로 엔드포인트를 감염시키려는 시도에서 발생합니다.
현재 가장 널리 퍼진 랜섬웨어는 3분기 전 세계 랜섬웨어 탐지 건수의 거의 4분의 1을 차지한 "LockBit" 계열입니다.1. 이 랜섬웨어는 공격자에게 초기 익스플로잇부터 C&C, 몸값 지불 처리까지 필요한 모든 것을 제공하는 완벽한 서비스형 랜섬웨어 인프라를 제공합니다. 초기 공격은 피싱 메일, RDP 익스플로잇, 웹 포럼에서 호스팅되는 악성 문서 등을 통해 발생할 수 있습니다. 최근의 예2에서는 사용자가 먼저 활성 콘텐츠를 활성화하도록 속이기 위해 Microsoft Word 문서가 사용되었습니다.
공격자들은 운영 체제 보호 메커니즘을 우회하기 위해 피해자를 속이는 데 점점 더 전문적이 되고 있으며, 기존의 엔드포인트 중심 안티 멀웨어 솔루션의 레이더망에 걸리지 않는 방법도 배웠습니다. 백그라운드에서는 공격자의 서버에 호스팅된 별도의 템플릿 문서를 통해 활성 콘텐츠를 다운로드합니다. 이 2단계 접근 방식을 사용하면 악성 VBA(Visual Basic for Applications) 코드는 인메모리에만 존재하고 로컬 하드 디스크에는 존재하지 않습니다(일명 "파일리스" 멀웨어 배포). 엔드포인트에 도착한 악성 VBA 코드는 공용 모든 사용자 폴더에 Windows 바로 가기 파일(LNK)을 생성하고, 실제 랜섬웨어 바이너리를 다운로드하고 실행하는 짧은 PowerShell 명령을 실행하도록 명령 프롬프트를 실행하도록 인수를 준비합니다. 그런 다음 기존 시스템 라이브러리를 오용하여 해당 바로 가기를 자동으로 실행합니다.
따라서 이러한 고도로 전문적이고 빠르게 진행되는 조직별 또는 서버 측 다형성 위협은 서명, 해시 등과 같은 반응형 기술로는 탐지할 수 없습니다. 이러한 끊임없는 공격의 압박은 IT 팀과 보안 팀에 큰 영향을 미칠 수 있습니다.
Skyhigh Security 는 조직의 자산에 도달하기 전에 대부분의 새로운 위협을 제거하는 데 도움이 되는 혁신적인 다중 계층 "심층 방어" 보호 기술을 제공하는 오랜 전통을 바탕으로 발전해 왔습니다. 10,000피트 높이에서 볼 때 조직은 보안 아키텍처 전반에 걸쳐 효율성을 요구하며, 이는 위협 탐지, 정확성 및 사용자를 위한 실시간 웹 경험을 의미합니다. Skyhigh Security 은 밀과 쭉정이를 신속하게 분리하고 필요에 따라 의심스러운 콘텐츠를 처리할 수 있는 검증된 기술을 통해 이 까다로운 요구를 해결합니다.
Skyhigh Security의 보호는 말하자면, Skyhigh 클라이언트 프록시(SCP) 앱을 사용하는 엔드포인트에서 바로 시작됩니다. 스캔이 필요한 트래픽을 리디렉션할 뿐만 아니라 네트워크 트래픽을 유발하는 엔드포인트 앱에 대한 컨텍스트도 추가하기 때문입니다. 이는 클라우드 또는 기업 네트워크 경계에 있는 스캔 게이트웨이에서 유용하게 사용할 수 있습니다. 멀웨어가 사용자에게 도달하여 트릭스터 방법을 시작하기 전에 차단할 수 있는 곳입니다. 클라우드 게이트웨이에서는 심층 분석에 들어가기 전에 웹 서버의 과거 평판을 기반으로 1차적으로 빠르게 평가할 수 있습니다. 이전에 멀웨어를 호스팅한 적이 있는 경우, 잠재적인 새로운 위협을 신속하게 차단할 수 있습니다. 마찬가지로, 기존의 서명 및 해시 검사를 조기에 적용하여 수백만 개의 알려진 위협을 분류합니다. 또한 수백만 명의 사용자의 트래픽을 파악하는 솔루션으로서 동일한 데이터를 지속적으로 재평가하는 것을 피할 수 있습니다.
남은 것은 알려지지 않은 잠재적인 새로운 위협입니다. 여기에서 행동 분석이 시작됩니다. 웹 페이지, 문서, 애플리케이션 바이너리 등의 스크립트 코드를 분석하여 엔드포인트에서 다운로드의 잠재적인 동작을 예측하기 위해 실시간으로 콘텐츠를 더욱 집중적으로 검사합니다. 이 환경을 "실시간 에뮬레이션 샌드박스"라고도 합니다. 이 단계에서는 다운로드한 코드의 줄 또는 조각을 특허받은 머신 러닝 알고리즘을 통해 평가하여 멀웨어 가능성을 판단합니다.4. 이전에 다른 위협에서 보였던 코드 라인 또는 동작 특성을 평가하고 각각의 위협 이름, MITRE 태그(5이 표시되며, 검사된 트래픽을 악성, 의심스러운 또는 정상 트래픽으로 판단하는 확률 점수가 보고됩니다. 이 기술은 랜섬웨어 바이너리 다운로드를 시도하는 VBA 코드로 인해 처음에 언급한 LockBit Word 문서 예시를 새로운 위협으로 탐지하고 "BehavesLike.Downloader.lc"로 차단했습니다.
이 분석 단계에서 문서가 "단지" 의심스러운 것으로 판단되면 Skyhigh Security 에서 의심스러운 문서를 즉시 변환하여 엔드포인트에 도달할 수 없는 캡슐화된 Remote Browser Isolation 인스턴스에서 안전하게 볼 수 있도록 할 수 있습니다. 통합 정책 엔진에 Skyhigh Security Service Edge (SSE)의 모든 기술이 통합되어 있어 이 솔루션은 매우 강력합니다. 세계적 수준의 다차원 안티멀웨어 기술과 격리 기능, 업계 최고의 데이터 보호 엔진의 강력한 성능이 결합되어 고객의 매우 구체적인 보안 정책에 따라 전 세계 데이터를 보호하고 사용자를 안전하게 보호합니다.
Skyhigh Security의 SSE 접근 방식에 대해 자세히 알아보려면 www.skyhighsecurity.com 을 방문하세요.
블로그로 돌아가기