|
탐지봇 방지를 위해 이미지를 반전시키는 Creative Office 365 피싱 캠페인 침해사고분석팀 2020.11.09 |
|
|
WMC Global의 연구원들이 웹에서 새롭고 창의적인 Office 365 피싱 캠페인을 발견했다.
해당 캠페인은 피싱 사이트를 검색하는 보안 솔루션에서 악의적인 행위라 탐지되는 것을 방지하기 위해 랜딩 페이지의 배경으로 사용되는 이미지를 반전시키는 행위를 한다.
탐지봇 방지 메커니즘은 여러 Office 365 자격 증명을 도용하도록 설계된 피싱 웹 사이트에 배포된 상태다.
WMC Global 연구원들은 이 피싱 기술은 한 명의 위협 행위자가 피싱 키트를 여러 사용자에게 판매했기 때문이라고 판단했다.
WMC Global 연구원들은 “이미지 인식 소프트웨어가 개선되고 더 정확해지면서 이 새로운 기술은 이미지의 색상을 반전시켜 이미지 해시를 원본과 다르게 만들어 스캔 엔진을 속이는 것을 목표로 합니다. 이 기술은 이 이미지에 플래그를 지정하는 소프트웨어의 기능을 방해할 수 있습니다." 라고 분석 보고서에 게시하였다.
[그림 1. 합법적으로 보이는 Office 365 로그인 페이지]
[그림 2. 반전된 사진]
이 트릭을 사용하는 피싱 키트는 CSS(Cascading Style Sheet)를 사용하여 배경을 자동으로 되돌려서 합법적인 Office 365 로그인 페이지의 배경과 똑같이 보이게 한다.
피싱 탐지 웹 크롤러가 반전된 이미지를 받는 동안 잠재적인 피해자는 반전된 배경이 아닌 원래 배경을 볼 수 있는 이러한 피싱 랜딩 페이지 중 하나로 리다이렉션된다.
즉 요약하자면, 피싱 키트는 피해자와 검색 엔진에 동일한 피싱 랜딩 페이지의 다른 버전을 보여주는 것이다.
연구원들은 “웹 사이트를 방문한 피해자는 반전된 사진이 불법적임을 인식하고 웹 사이트를 종료합니다. 그 결과, 위협 행위자는 반전된 이미지를 저장하고 index.php 코드 내에서 CSS 방법을 사용하여 이미지의 색상을 원래 상태로 되돌렸습니다. 이 접근 방식은 최종 웹 사이트가 방문하는 사용자에게 합법적으로 보이게 하는 반면, 크롤러 및 검색 엔진은 이미지를 Office 365 배경의 반전 된 복사본으로 감지할 가능성이 거의 없습니다."라고 덧붙였다.
출처 |
