HTML5와 자바스크립트의 기능 활용해 악성 객체를 피해자 단에서 구성

악성 객체의 전달을 기반으로 한 탐지 체계로 잡아내기 어려워...앞으로 유행할지도

[보안뉴스 문가용 기자] HTML 스머글링(HTML Smuggling)과 데이터 블롭을 사용해 멀웨어를 전파하는 새로운 공격 캠페인이 발견됐다. 이 기법을 통해 샌드박스 등 보안 장비와 솔루션들을 우회하는 것이 가능하다고 한다. 이를 제일 먼저 발견한 보안 업체 멘로 시큐리티(Menlo Security)는 이 캠페인에 듀리(Duri)라는 이름을 붙였다. 듀리가 제일 처음 발견된 건 7월 초의 일이고, 현재까지도 진행되는 중이라고 한다.


HTML 스머글링은 HTML5와 자바스크립트의 기능을 활용해 파일 다운로드를 실시하는 것이다. 공격자들은 클라이언트 장비의 데이터 URL들을 사용해 파일 다운로드를 발동시킬 수 있다. 그 외에 자바스크립트 블롭을 생성해 파일 다운로드가 시작되도록 할 수 있다고 한다. “듀리 캠페인의 특징은 페이로드 전체가 클라이언트 측, 즉 브라우저에서 구성된다는 겁니다. 그렇기 때문에 전선을 통해 객체가 전송되는 일이 없습니다. 즉 샌드박스가 뭘 검사할 수가 없다는 것이죠.”

멘로 시큐리티에 의하면 공격은 다음과 같은 순서로 진행된다.
1) 피해자가 악성 링크를 클릭한다.
2) 링크를 통해 피해자는 여러 사이트로 우회되다가 특정 HTML 페이지에 도착한다.
3) 이 페이지는 duckdns.org라는 도메인에 호스팅 되어 있다.
4) 자바스크립트 프롬프트가 시작되면서 베이스64(base64)로 인코딩 된 변수로부터 블롭 객체가 활성화된다.
5) 블록 객체로부터 집(zip) 파일이 만들어진다.
6) 이 집 파일이 엔드포인트로 다운로드 된다.
7) 사용자가 이 집 파일을 열고 실행하면 MSI(마이크로소프트 인스톨러) 파일이 열리면서 설치가 진행된다.

아직 최종 멀웨어 페이로드가 무엇인지는 멘로 측에서 공개하지 않고 있다. 당연히 공격 배후자에 대한 추측도 나오지 않고 있는 상황이다. 멘로 측은 “멀웨어 자체는 크게 새롭거나 혁신적이지 않다”고 설명할 뿐이다. “아직 멀웨어의 정확한 종류나 배후 세력을 공개하는 게 적절한 시점인지 판단이 되지 않습니다. 다만 과거 시스코가 보고서를 통해 발표한 적이 있는 멀웨어이며, 당시 이 멀웨어는 드롭박스를 통해 배포되고 있었습니다.”

HTML 스머글링이라는 기법도 마냥 새로운 건 아니라고 멘로의 크리슈난 서브라마니안(Krishnan Subramanian)은 말한다. “보안 제품들을 속이려고 고안된 또 다른 기법 들 중 하나라고 보면 됩니다. 취약점이나 보안 구멍을 악용하지 않아도 되고, 꽤나 효과적으로 탐지를 피해갈 수 있다는 게 HTML 스머글링의 가장 큰 장점입니다. HTML5와 자바스크립트의 정상적인 기능을 악용한다는 게 핵심입니다.”

프록시, 방화벽, 샌드박스 등 보다 전통적인 네트워크 보안 도구들은 악성 행위를 탐지하기 위해 ‘객체가 전선을 통해 전달되는 것’을 필요로 한다. 즉 ‘악성 객체가 전선을 통해 전송된다’는 것을 전제로 하고 있다는 것이다. HTML 스머글링은 이렇게 ‘정해진 규칙을 기반으로 파일을 점검하는’ 보안 솔루션의 원리의 빈틈을 파고드는 것이라는 게 서브라마니안의 설명이다.

멘로는 “이 공격이 아직도 진행 중이며 상당히 효과적이라는 게 증명되고 있기 때문에 당분간 HTML 스머글링 공격이 더 많은 기업들을 괴롭힐 것”이라고 보고 있다. “특히 탐지가 되어야만 방어 체제를 구축하는 현대의 보안 시스템을 정확히 꿰뚫는 공격이라는 점에 우리는 주목해야 합니다. 능동적 방어가 아직 제대로 자리 잡히지 않은 시점에서 이 공격은 단순하지만 상당한 효과를 발휘할 것으로 보입니다.” 

 

3줄 요약

1. HTML 스머글링을 통한 새로운 공격 기법, 많은 조직 괴롭히는 중.
2. HTML 스머글링은 현존하는 방어 체계를, 취약점 익스플로잇 없이 피해갈 수 있게 해줌.
3. ‘탐지가 되어야만 움직이는’ 현재 방어 체계의 약점을 꿰뚫는 공격.

[국제부 문가용 기자(globoan@boannews.com)] 

 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=90548&page=1&kind=1​)]