Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향이제 피싱 사이트는 가상 머신을 감지하여 탐지를 우회한다
작성일 2021-03-16 조회 66

피싱

 

 

피싱 사이트는 이제 방문자가 가상 머신 또는 헤드리스 장치에서 사이트를 탐색하는지 확인하여 탐지를 우회하기 위해 JavaScript를 사용하고 있다.

 

사이버 보안 회사는 일반적으로 웹 사이트가 피싱에 사용되는지 여부를 확인하기 위해 헤드리스 장치나 가상 머신을 사용한다.

 

탐지를 우회하기 위해 피싱 키트는 JavaScript를 사용하여 브라우저가 가상 머신에서 실행 중인지 또는 연결된 모니터 없이 실행 중인지 확인한다. 분석 시도의 징후가 발견되면 피싱 페이지를 표시하는 대신 빈 페이지가 표시된다.

 

MalwareHunterTeam에서 발견한 스크립트는 방문자 화면의 너비와 높이를 확인하고 WebGL API를 사용하여 브라우저에서 사용하는 렌더링 엔진을 쿼리한다.

 

 

API를 사용하여 렌더러 및 화면 정보 얻기

[그림1. API를 사용하여 렌더러 및 화면 정보 획득]

 

 

검사를 수행할 때 스크립트는 먼저 브라우저가 SwiftShader, LLVMpipe 또는 VirtualBox와 같은 소프트웨어 렌더러(Software renderers)를 사용하는지 확인한다. 소프트웨어 렌더러는 일반적으로 가상 머신 내에서 브라우저가 실행 중임을 나타낸다.

 

또한, 이 스크립트는 방문자 화면의 색 깊이가 24비트 미만인지, 화면 높이와 너비가 아래와 같이 100픽셀 미만인지도 확인한다.

 

 

가상 머신 및 헤드리스 장치에 대한 검사 수행

[그림2. 가상 머신 및 헤드리스 장치에 대한 검사 수행]

 

 

이러한 조건 중 하나가 탐지되면 피싱 페이지는 브라우저의 개발자 콘솔에 메시지를 표시하고 방문자에게 빈 페이지를 표시한다.

 

그러나 브라우저가 일반 하드웨어 렌더링 엔진과 표준 화면 크기를 사용하는 경우 스크립트에 피싱 랜딩 페이지가 표시된다.

 

사이버 보안 회사인 Emsisoft의 CTO인 Fabian Wosar는 보안 소프트웨어가 다양한 방법을 활용하여 피싱 사이트를 검색하고 탐지한다고 말했다. 여기에는 시그니처 매칭과 머신 러닝을 이용한 가상 머신이 포함된다.

 

"위 코드와 같은 코드는 실제로 일부에서 작동한다. 그러나 몇 개의 JavaScript API를 연결하고 가짜 정보를 제공하여 방지하는 것은 사소한 방법이다."라고 Wosar는 설명했다.

 

연구원과 보안 회사가 맬웨어 탐지를 우회하기 위해 가상 머신을 강화하는 것이 일반적이므로, 이제는 피싱 공격으로부터 가상 머신을 강화해야 할 것으로 보인다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/phishing-sites-now-detect-virtual-machines-to-bypass-detection/

첨부파일 첨부파일이 없습니다.
태그 피싱 사이트