원격 근무 체제 자리 잡기 시작하자 다시 부활하는 HTML 스머글링

2021-08-02 11:15
  • 카카오톡
  • 네이버 블로그
  • url
코로나로 많은 사람들이 집에서 일하기 시작했다. 하지만 집에서 일하는 사람들이 최첨단 보안 도구를 갖추고 있는 경우는 드물다. 이를 파악한 공격자들이 예전에 유행했던 공격 기술을 다시 들고 나타났다.

[보안뉴스 문가용 기자] 보안 업체 멘로 시큐리티(Menlo Security)와 마이크로소프트(Microsoft) 새로운 멀웨어 유포 캠페인을 적발해 발표했다. 이번 캠페인 운영자들이 사용하기 시작한 건 HTML 스머글링(HTML Smuggling)이라는 기법으로, 새로운 기술은 아니지만 보안 업계의 ‘새로운 관심’이 필요한 건 사실이라고 두 업체는 강조했다.


[이미지 = utoimage]

HTML 스머글링의 장점은 HTML5의 합법적 기능들과 자바스크립트 코드를 사용해 파일을 유포하기 때문에 네트워크 보안 도구들을 회피하기가 쉽다는 것이다. 대부분의 보안 도구들은 트래픽을 지켜보다가 수상한 패턴이나 시그니처가 발견되면 경보를 울리는데, HTML5와 자바스크립트 코드는 ‘수상해 보이지 않기’ 때문이다. 게다가 HTML 스머글링 기법을 사용할 때 실제 악성 페이로드는 피해자의 장치에 설치된 정상 브라우저 안에서 완성되기 때문에 보안 도구들은 ‘트래픽 상태’에서는 이를 발견하지 못한다.

HTML 스머글링은 취약점 익스플로잇과 상관이 없다. 브라우저에 취약점이나 오류가 존재하지 않아도 실행할 수 있는 공격이라는 것이다. 공격자가 해야 할 일은 피싱 공격이나 소셜 엔지니어링을 통해 공격 대상에 악성 메일을 보내고, 공격 대상이 메일 내 링크를 클릭하도록 유도하는 것이다. 클릭을 통해 피해자를 미리 만들어 둔 HTML 페이지로 접속시키면 된다. 물론 이 페이지는 HTML과 자바스크립트 코드를 사용해 악성 페이로드를 브라우저 내에서 콤파일링 하도록 만들어진 것이다. 이 HTML 페이지를 첨부 파일 형태로 전송하는 것도 가능하다.

멘로 시큐리티의 보안 연구 책임자인 비나이 피다탈라(Vinay Pidathala)는 이런 HTML 스머글링 기반 공격 캠페인인 아이소모프(ISOMorph)를 관찰해 온 인물로 “공격자들은 ISO 파일을 메일에 첨부해 피해자들에게 보냈다”고 설명한다. 이 ISO 파일 안에는 악성 스크립트가 포함되어 있고, 실행될 경우 추가 파워셸 스크립트들을 다운로드 받는 기능을 가지고 이다고 한다. 이 악성 파워셸 스크립트의 경우, 현재까지 총 7가지 종류가 발견되었다고 한다. “이 모든 스크립트들이 피해자의 브라우저 내에서 컴파일링 됩니다.”

악성 파워셸 스크립트는 제일 먼저 백신 시스템을 찾아내 비활성화시킨다. 그 다음으로는 디스코드(Discord)로부터 추가 페이로드를 다운로드 받는다. 공격자들은 디스코드에 악성 페이로드를 호스팅 하고 이다고 피다탈라는 설명한다. “디스코드는 1억 5천만 명이 넘는 사용자를 보유한 플랫폼입니다. 이런 플랫폼이 사이버 공격자들 사이에서 점점 더 높은 인기를 구가하고 있다는 건 보안 업계 전체가 눈여겨봐야 할 부분이라고 생각합니다.”

디스코드로부터 다운로드 되는 최종 페이로드는 원격 접근 트로이목마(RAT)인 에이싱크랫(AsyncRAT) 혹은 엔제이랫(NJRAT)이다. 여러 해킹 단체들이 활용해 왔던 멀웨어인데, 주로 중동의 표적들을 노리는 공격에서 눈에 띄던 무기들이다. 하지만 이번 아이소모프 캠페인의 주요 표적 역시 중동 쪽 단체나 인사라고 결론을 내리기에는 이르다. 공격 표적과 공격자의 의도에 대한 분석은 아직도 이어지고 있다.

HTML 스머글링 기법은 이따금씩 발견되고 있는 공격 기술로, 멘로 시큐리티는 지난 해 여름에 두리(Duri)라는 HTML 스머글링 기반 공격 캠페인을 발견해 세상에 알리기도 했다. MS 역시 최근 HTML 스머글링 기법의 활성화를 다룬 연구 보고서를 발표했었다. 그러면서 한 공격 단체가 피해자의 장비에 집(Zip) 아카이브를 심음으로써 악성 자비스크립트 파일을 유포한다고 경고했다. 이 자바스크립트 파일은 악성 웹사이트와 연결해 또 다른 악성 파일을 다운로드 받도록 설계되어 있었다.

멘로 시큐리티 측은 “코로나로 인해 원격 근무 체제가 활성화 되면서 HTML 스머글링이 다시 공격자들의 주목을 받는 것으로 보인다”고 자사 블로그를 통해 설명했다. “HTML 스머글링은 오래된 샌드박스와 프록시, 방화벽들을 제법 잘 우회하는 공격 기술입니다. 집으로 흩어진 사용자들이 최첨단 장비들을 마련해 사용하고 있지는 않죠. 그러면서 브라우저 활용도가 엄청나게 높아졌고요. 그 점에 착안해 공격자들이 새로운 유행을 시작한 것으로 보입니다.”

피다탈라는 “원격 근무 체제를 기업과 기관들이 보다 면밀히 이해해야 할 필요가 있다”고 주장한다. “그저 생산을 각자 집에서 하는 게 전부가 아닙니다. 네트워크 형태와 구조가 통째로 바뀌고, 그에 따라 리스크의 성질도 완전히 뒤바뀝니다. 각 애플리케이션들의 위험 노출도도 달라지고요. 보안 전문가들에게 요구되는 역량은, 변화나 신기술이 가지고 있는 장점과 단점 모두를 균형 있게 파악하고 저울질하는 것입니다. 말처럼 쉬운 건 아니지만요.”

3줄 요약
1. 원격 근무 체제 늘어나면서 새롭게 유행하기 시작한 공격 기법, HTML 스머글링.
2. 자바스크립트 코드와 HTML 기능을 이용해 여기저기서 악성 요소 가져와 피해자 브라우저 내에서 조합하는 공격 기법.
3. 이번에 발견된 캠페인에서는 인기 통신 플랫폼인 디스코드가 활용되기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기