CISO와 조직은 사이버 보안 도구, 기술 및 관행을 따라잡기 위해 노력합니다. 하지만 위협 공격자들은 이를 능가하기 위해 끊임없이 혁신을 거듭합니다. 이들이 사용하는 기법 중 하나가 워터링홀 공격입니다. 기술 생태계의 보안이 확보되고 직원들이 조작을 방지하도록 교육을 받으면 사이버 범죄자는 타사 서비스를 공격할 수 있습니다. 이는 취약점을 악용하여 조직에 피해를 입히기 위한 것입니다.
워터링 홀 공격의 역사
'워터링 홀 공격'이라는 용어는 고대 사냥 전략에서 유래했습니다. 고대의 사냥꾼들은 사냥감을 쫓는 것이 불편하다고 생각했습니다. 먹잇감은 이상적으로 인간보다 훨씬 빠르고 민첩했기 때문입니다. 훨씬 더 나은 해결책은 먹잇감이 모일 가능성이 높은 곳에 덫을 놓는 것이었습니다. 강변이나 물웅덩이 같은 곳에 덫을 놓으면 식수를 구하기 위해 먹잇감을 끌어들일 수 있었습니다.
사냥꾼들은 먹잇감의 경계가 풀릴 때까지 물웅덩이에서 기다렸다가 사냥감을 쉽게 잡을 수 있었습니다. 이 새로운 사이버 공격 기법도 마찬가지입니다.
워터링 홀 공격 정의
워터링 홀 공격은 위협 행위자가 최종 사용자가 자주 방문하는 웹사이트를 추측하거나 관찰하여 감염시키는 사이버 공격입니다. 공격자는 웹사이트를 멀웨어로 감염시켜 표적의 디바이스에 침투하는 것을 목표로 합니다. 그런 다음 감염된 디바이스를 사용하여 공격 대상의 조직 네트워크에 액세스할 수 있습니다.
예를 들어 해커는 회사의 컴퓨터를 악용하는 것을 목표로 합니다. 하지만 사이버 보안 시스템과 직원들의 사이버 위생 관행으로 해커의 침입을 막을 수 있습니다. 하지만 해커는 인사팀이 모든 직원의 생일에 특정 온라인 베이커리에서 케이크를 주문한다는 사실을 알고 있습니다. 이제 해커는 인사팀이 제빵사 웹사이트를 방문하기를 기다립니다. 그러면 해커는 멀웨어 또는 실행 코드를 인사 담당자의 디바이스에 설치합니다. 이를 통해 궁극적으로 회사 생태계에 침입할 수 있게 됩니다.
워터링 홀 공격은 발견하고 제거하기 어렵기 때문에 위험합니다. 해커의 존재를 알아챌 때쯤이면 해커는 회사에 충분한 피해를 입힌 후일 것입니다.
워터링홀 공격의 전체 수명 주기
일반적인 워터링 홀 공격은 다음 단계로 진행됩니다:
1. 웹사이트 식별
위협 행위자는 보안 취약점, 즉 보안 관행이 취약한 웹사이트를 선택하는 경우가 많습니다. 공격 대상은 특정 회사의 직원, 특정 업계의 구성원, 특정 소프트웨어 또는 서비스 사용자 등이 될 수 있습니다. 공격자들은 이상적인 표적을 잠글 때 여러 가지 요소를 고려합니다.
여기에는 사회공학적 기회, 지리적 위치, 설정과의 근접성, 예상되는 금전적 이익, 평판, 취약성, 악용의 용이성 등이 포함됩니다.
2. 타겟 연구
다음으로, 공격 대상의 온라인 행동과 패턴을 조사합니다. 이를 통해 워터링 홀(타깃이 정기적으로 방문하는 타사 웹사이트)을 찾는 데 도움이 됩니다. 여기에는 뉴스 웹사이트, 업계 포럼, 파일 형식 변환기, 온라인 쇼핑 플랫폼, 티켓 예매 웹사이트 등이 포함될 수 있습니다.
3. 감염
공격자는 이러한 웹사이트에 악성 코드를 삽입하여 하나 이상의 웹사이트를 손상시킵니다. 이 코드는 방문자를 속여 컴퓨터나 디바이스에 멀웨어를 다운로드하도록 유도할 수 있습니다.
4. Luring
악성 코드가 '워터링 홀' 웹사이트에 설치된 후, 공격자는 공격 대상이 손상된 웹사이트를 방문하기를 기다립니다. 따라서 포식자가 물웅덩이에서 먹이를 기다리는 것에 비유할 수 있습니다. 감염된 웹사이트는 피해자가 함정에 빠지도록 유인하는 미끼 또는 미끼입니다.
5. 착취
피해자가 '워터링 홀' 웹사이트를 방문하면 컴퓨터가 멀웨어에 감염되거나 손상됩니다. 이는 드라이브 바이 다운로드를 통해 발생할 수 있습니다. 이 경우 멀웨어가 사용자 모르게 자동으로 다운로드되어 실행됩니다.
6. 페이로드 전달
'워터링 홀' 웹사이트를 통해 설치된 멀웨어에는 다양한 페이로드가 포함될 수 있습니다. 이는 공격자의 목표에 따라 다릅니다. 사용자의 디바이스와 네트워크에 무단으로 액세스하는 것이 목적일 수 있습니다.
7. 트랙 커버링
공격자는 표적이 된 시스템을 익스플로잇하여 목표를 달성한 후에는 흔적을 감추려고 하는 경우가 많습니다. 여기에는 로그 파일을 조작하거나 삭제하여 자신의 존재 흔적을 없애는 것이 포함됩니다. 타임스탬프를 변경하거나 특정 항목을 삭제하거나 로그 구성을 변조하여 로깅을 아예 하지 못하게 할 수도 있습니다.
해커는 루트킷과 같은 은밀한 기술을 사용하여 손상된 시스템에서 자신의 존재를 숨길 수도 있습니다. 루트킷은 운영 체제를 수정하여 악성 프로세스 및 활동을 숨깁니다.
워터링 홀 공격의 실제 사례
2021년에 구글의 위협 자문 그룹(TAG) 은 일련의 워터링홀 공격을 발견했습니다. 이러한 공격은 iOS 및 macOS 디바이스를 표적으로 삼았습니다. 이 공격은 주로 홍콩에서 이루어졌습니다. 이 공격은 웹사이트와 다음과 같은 취약점의 조합을 손상시켰습니다. 제로데이 익스플로잇 (CVE-2021-30869)를 포함한 제로데이 익스플로잇과 취약점의 조합으로 웹사이트를 손상시켰습니다.
워터링 홀 지점은 언론 매체와 민주화 단체에 연결된 웹사이트였습니다. 공격자들은 익스플로잇 체인을 통해 취약한 디바이스에 백도어를 설치했습니다. 이를 통해 공격자들은 다양한 기능을 사용할 수 있었습니다. 여기에는 장치 식별, 오디오 녹음, 화면 캡처, 키 로깅, 파일 조작, 루트 권한으로 터미널 명령 실행 등이 포함되었습니다.
워터링 홀 공격으로부터 보호
워터링 홀 공격을 방지하려면 사이버 보안 조치와 사용자 인식의 조합이 필요합니다. 조직의 소유자로서 할 수 있는 일은 다음과 같습니다.
-
소프트웨어 및 플러그인 업데이트 유지
업데이트에는 종종 알려진 취약점에 대한 패치가 포함되어 무단 액세스, 데이터 침해 또는 멀웨어 감염으로 이어질 수 있는 익스플로잇을 방지하므로 소프트웨어와 플러그인을 최신 상태로 유지하는 것은 보안 유지에 매우 중요합니다.
-
최소 권한 구현
사용자에게 업무 수행에 필요한 권한과 액세스 권한만 부여하여 최소 권한 원칙을 따르세요. 사용자 권한을 제한하면 성공적인 워터링홀 공격의 영향을 완화할 수 있습니다. 공격자가 권한을 에스컬레이션하고 네트워크 내에서 측면으로 이동할 수 있는 능력이 줄어들기 때문입니다.
-
네트워크 세분화
네트워크를 더 작고 격리된 세그먼트로 분할하여 워터링홀 공격의 영향을 제한하세요. 이렇게 하면 멀웨어의 확산을 제어하고 억제할 수 있습니다. 또한 공격자가 민감한 시스템과 데이터에 액세스하는 것을 방지할 수 있습니다. 공격 표면을 줄이면 비즈니스 요구와 중요도에 따라 네트워크 트래픽의 우선순위를 지정할 수 있습니다. 이를 통해 성능이 향상되고 혼잡이 줄어들며 대역폭 사용량이 최적화됩니다.
-
웹 필터링 구현
웹 필터링은 악성 웹사이트에 대한 액세스를 차단하여 워터링홀 공격을 방지합니다. 웹 필터링 솔루션은 무단 데이터 유출을 방지할 수 있습니다. 웹 필터링 솔루션은 무단 데이터 유출도 방지할 수 있습니다.
이는 멀웨어가 사용하는 알려진 명령 및 제어 서버에 대한 아웃바운드 연결을 차단함으로써 달성됩니다. 이를 통해 워터링 홀 공격의 영향을 억제하고 중요한 정보가 도난 또는 유출되는 것을 방지할 수 있습니다.
-
레거시 시스템 버리기
레거시 시스템을 폐기하면 워터링홀 공격으로부터 조직을 보호할 수 있습니다. 이는 익스플로잇에 취약한 오래된 소프트웨어와 인프라를 제거함으로써 이루어집니다.
최신 시스템과 소프트웨어에는 보안 기능이 기본으로 탑재되어 있습니다. 여기에는 고급 암호화 프로토콜, 보안 코딩 관행, 위협 탐지 기능이 포함됩니다. 이러한 기능은 공격자가 시스템과 네트워크를 손상시키는 것을 더욱 어렵게 만듭니다.
마무리
수익성이 높은 보상의 잠재력은 사이버 범죄자들이 워터링홀 공격을 계속 사용하도록 동기를 부여합니다. 여기에는 중요한 리소스에 대한 무단 액세스 또는 민감한 데이터 획득이 포함됩니다.
워터링 홀 공격에 대한 지속적인 모니터링을 통해 강력한 사이버 보안 조치를 배포할 수 있습니다. 이를 통해 끊임없이 진화하는 사이버 환경에서 새로운 위협에 한발 앞서 대응할 수 있습니다. 이는 결국 브랜드의 평판을 보호하고 고객과의 신뢰를 유지하는 데 도움이 됩니다.
이메일 사기로부터 도메인을 보호하려면 다음이 필요합니다. DMARC 분석기. 가입하기 무료 평가판 에 가입하여 이메일 인증의 강력한 기능을 지금 바로 체험해 보세요!
- DMARC MSP 사례 연구: 고객을 위해 도메인 보안 관리를 간소화한 CloudTech24, PowerDMARC 사용 사례 - 2024년 10월 24일
- 이메일을 통한 민감한 정보 전송의 보안 위험 - 2024년 10월 23일
- 사회 보장 이메일 사기의 5가지 유형과 예방 방법 - 2024년 10월 3일