Kant's IT/Issue on IT&Security

파일 호스팅 서비스를 악용한 피싱 공격

Kant Jo 2024. 11. 13. 16:32

File hosting services misused for identity phishing | Microsoft Security Blog

 

  • 파일 호스팅 서비스 악용 현황
    • Microsoft는 정당한 파일 호스팅 서비스를 악용한 피싱 캠페인이 증가하고 있음을 관찰
    • SharePoint, OneDrive, Dropbox와 같은 서비스가 악용되어, 방어 회피 전술을 통해 비즈니스 이메일 손상(BEC) 공격 및 금융 사기, 데이터 유출, 엔드포인트로의 측면 이동 등이 발생
  • 공격 방식
    • 피싱 이메일을 통해 전달되는 파일은 액세스 제한 또는 보기 전용으로 설정되어 분석 시스템 회피
    • OTP(One-Time Password) 기반 재인증 요구하여 사용자 신뢰 유도
    • 피싱 캠페인은 일반적인 소셜 엔지니어링 기법을 사용하며, 기기 손상신원 도용을 목적으로 함
  • 피싱 공격의 단계
    1. 신뢰할 수 있는 공급자의 계정이 비밀번호 스프레이 또는 AiTM(중간자 공격)으로 손상됨
    2. 손상된 사용자의 파일 호스팅 앱에 악성 파일이 생성됨
    3. 악성 파일이 제한된 사용자 그룹에게 공유됨
    4. 수신자는 파일 접근을 위해 재인증을 요구받고, 인증 후 AiTM 피싱 페이지로 리디렉션됨
    5. 사용자의 세션 토큰이 탈취되어 이후 추가 공격에 사용됨
  • 방어 회피 전술
    • 파일 접근 제한: 파일이 특정 사용자에게만 액세스 가능
    • 재인증 요구: 파일 접근 시 이메일 주소와 OTP를 입력해야 함
    • 다운로드 불가: 공유된 PDF 파일은 다운로드가 불가하여, URL 분석이 어려움
  • 방어 및 탐지 권고사항
    • Microsoft Entra에서 조건부 액세스 정책 활성화, 특히 위험 기반 액세스 정책 설정
    • 비밀번호 없는 로그인 사용 권장 (FIDO2 보안 키 사용)
    • Microsoft Defender for Endpoint를 통해 악성 도메인 및 IP 차단
    • Microsoft Defender for Office 365악성 이메일, 링크, 파일 차단
    • 사용자 교육을 통해 파일 공유의 보안 위험성 인식 강화
  • 추가적인 탐지 방법
    • Microsoft Defender XDR을 통해 의심스러운 이메일인증 시도를 추적하여 계정 손상 여부 파악
    • 파일 공유 이벤트와 관련된 활동을 CloudAppEvents에서 감사
    • DropboxOneDrive/SharePoint에 대한 보안 링크공유 파일에 대한 이벤트 모니터링