익스플로잇 키트란 무엇인가요?
익스플로잇 키트 는 웹을 검색하는 동안 피해자의 컴퓨터에 있는 취약점을 자동으로 조용히 악용하는 방법으로 개발되었습니다. 익스플로잇 키트는 고도로 자동화된 특성으로 인해 범죄 집단에서 가장 많이 사용하는 멀웨어 또는 원격 액세스 도구(RAT) 배포 방법 중 하나가 되어 공격자의 진입 장벽을 낮췄습니다. 익스플로잇 키트는 악의적인 공격자에게 수익을 창출하는 데에도 효과적입니다. 익스플로잇 킷 제작자는 이러한 캠페인을 지하 범죄 시장에서 서비스형 익스플로잇 킷의 형태로 대여용으로 제공하며, 주요 킷의 가격은 한 달에 수천 달러에 달할 수 있습니다.
공격자는 자동화된 단순화된 방식으로 디바이스를 제어하는 것을 최종 목표로 익스플로잇 키트를 활용합니다. 익스플로잇 키트 내에서 감염이 성공하려면 일련의 이벤트가 발생해야 합니다. 랜딩 페이지부터 익스플로잇 실행, 페이로드 전달까지, 공격자가 호스트를 제어하기 위해서는 각 단계를 성공적으로 완료해야 합니다.
관련 동영상
피싱 및 기타 웹 기반 공격이 여전히 성공하는 이유는 무엇인가요?
랜딩 페이지
익스플로잇 킷은 감염된 웹사이트로부터 시작됩니다. 손상된 페이지는 웹 트래픽을 다른 랜딩 페이지로 은밀하게 전환합니다. 랜딩 페이지에는 취약한 브라우저 기반 애플리케이션에 대해 피해자의 디바이스를 프로파일링하는 코드가 있습니다. 디바이스가 완전히 패치되고 최신 상태이면 익스플로잇 키트 트래픽이 중단됩니다. 취약점이 있는 경우, 감염된 웹사이트는 네트워크 트래픽을 익스플로잇으로 은밀하게 전환합니다.
익스플로잇
이 익스플로잇은 취약한 애플리케이션을 사용하여 호스트에서 몰래 멀웨어를 실행합니다. 공격 대상이 되는 애플리케이션에는 Adobe® Flash® 플레이어, Java® 런타임 환경, 익스플로잇이 파일로 전송되는 Microsoft® Silverlight®, 웹 트래픽 내에서 익스플로잇이 코드로 전송되는 웹 브라우저가 있습니다.
페이로드
익스플로잇이 성공하면 익스플로잇 킷은 페이로드를 전송하여 호스트를 감염시킵니다. 페이로드는 다른 멀웨어 또는 의도한 멀웨어 자체를 검색하는 파일 다운로더일 수 있습니다. 보다 정교한 익스플로잇 키트의 경우, 페이로드는 네트워크를 통해 암호화된 바이너리로 전송되며, 피해자의 호스트에 도착하면 암호가 해독되고 실행됩니다. 가장 흔한 페이로드는 랜섬웨어이지만 봇넷 멀웨어, 정보 탈취자, 뱅킹 트로이목마 등 다양한 페이로드가 있습니다.
최근 뉴트리노 익스플로잇 킷이 어프레이드게이트 캠페인에서 록키 랜섬웨어를 유포하는 데 사용된 것이 그 예입니다. 감염된 사이트의 페이지에는 방문자를 Afraidgate 도메인으로 리디렉션하는 삽입된 스크립트가 포함되어 있습니다. 손상된 URL에 연결되면 서버는 iframe과 함께 더 많은 JavaScript를 반환하여 뉴트리노 익스플로잇 킷 랜딩 페이지로 연결합니다. 자바스크립트로 취약점 익스플로잇에 성공하면, Locky 랜섬웨어 페이로드가 전달되고 호스트 시스템은 사용자를 잠그고 공격자에게 제어권을 넘깁니다.
익스플로잇 킷은 다양한 기술과 목적을 가진 공격자들이 사용하는 도구가 되었기 때문에 이러한 공격으로부터 시스템을 보호할 수 있어야 합니다. 이는 공격 표면을 줄이고, 알려진 멀웨어와 익스플로잇을 차단하며, 새로운 위협을 신속하게 식별하고 차단함으로써 달성할 수 있습니다. 팔로알토 네트웍스 차세대 플랫폼은 알려진 위협을 선제적으로 차단하는 동시에 정적 및 동적 분석 기술을 사용하여 알려지지 않은 위협을 식별합니다. 알 수 없는 파일, 이메일, 링크는 확장 가능한 샌드박스 환경에서 분석하여 악성인지 양성인지 판단합니다. 파일이 악성 파일로 판단되면 자동으로 보호 기능이 생성되고 플랫폼 내의 모든 기술에 걸쳐 보호 기능이 제공되어 익스플로잇 킷이 수명 주기 동안 더 이상 진행되지 않도록 완벽하게 보호합니다.