File hosting services misused for identity phishing | Microsoft Security Blog
- 파일 호스팅 서비스 악용 현황
- Microsoft는 정당한 파일 호스팅 서비스를 악용한 피싱 캠페인이 증가하고 있음을 관찰
- SharePoint, OneDrive, Dropbox와 같은 서비스가 악용되어, 방어 회피 전술을 통해 비즈니스 이메일 손상(BEC) 공격 및 금융 사기, 데이터 유출, 엔드포인트로의 측면 이동 등이 발생
- 공격 방식
- 피싱 이메일을 통해 전달되는 파일은 액세스 제한 또는 보기 전용으로 설정되어 분석 시스템 회피
- OTP(One-Time Password) 기반 재인증 요구하여 사용자 신뢰 유도
- 피싱 캠페인은 일반적인 소셜 엔지니어링 기법을 사용하며, 기기 손상과 신원 도용을 목적으로 함
- 피싱 공격의 단계
- 신뢰할 수 있는 공급자의 계정이 비밀번호 스프레이 또는 AiTM(중간자 공격)으로 손상됨
- 손상된 사용자의 파일 호스팅 앱에 악성 파일이 생성됨
- 악성 파일이 제한된 사용자 그룹에게 공유됨
- 수신자는 파일 접근을 위해 재인증을 요구받고, 인증 후 AiTM 피싱 페이지로 리디렉션됨
- 사용자의 세션 토큰이 탈취되어 이후 추가 공격에 사용됨
- 방어 회피 전술
- 파일 접근 제한: 파일이 특정 사용자에게만 액세스 가능
- 재인증 요구: 파일 접근 시 이메일 주소와 OTP를 입력해야 함
- 다운로드 불가: 공유된 PDF 파일은 다운로드가 불가하여, URL 분석이 어려움
- 방어 및 탐지 권고사항
- Microsoft Entra에서 조건부 액세스 정책 활성화, 특히 위험 기반 액세스 정책 설정
- 비밀번호 없는 로그인 사용 권장 (FIDO2 보안 키 사용)
- Microsoft Defender for Endpoint를 통해 악성 도메인 및 IP 차단
- Microsoft Defender for Office 365로 악성 이메일, 링크, 파일 차단
- 사용자 교육을 통해 파일 공유의 보안 위험성 인식 강화
- 추가적인 탐지 방법
- Microsoft Defender XDR을 통해 의심스러운 이메일과 인증 시도를 추적하여 계정 손상 여부 파악
- 파일 공유 이벤트와 관련된 활동을 CloudAppEvents에서 감사
- Dropbox와 OneDrive/SharePoint에 대한 보안 링크 및 공유 파일에 대한 이벤트 모니터링
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
Internet Archive 데이터 침해 및 DDoS 공격 사건 (1) | 2024.11.17 |
---|---|
진정한 전문가와 가짜 전문가의 차이, 보안 전문가 사례 (1) | 2024.11.17 |
게임 속임수 스크립트 엔진을 통해 확산된 Lua 기반 악성코드 (5) | 2024.11.12 |
Dark Angels 랜섬웨어: Windows 및 Linux/ESXi 시스템 공격 (0) | 2024.11.12 |
LNK 메타데이터 악용 (0) | 2024.11.12 |