Home Blogs 핵티비즘 초점 : 귀하의 사이트가 위험에 처해 있습니까? – 에드지오
Applications

핵티비즘 초점 : 귀하의 사이트가 위험에 처해 있습니까? – 에드지오

About The Author

Outline

에 의해: 톰 고럽 & 앤드류 존슨

이스라엘/하마스 전쟁이 시작된 이래로 헤드라인에서 사이버 공격의 빈도가 급격히 증가했다는 것을 보셨을 것입니다. 사이트 변조부터 DDoS 공격, 핵티비스트의 데이터 유출에 이르기까지 전 세계 모든 분야에서 급증하고 있습니다. 그들이 넘을 수 없는 국경이나 경계는 없었다.

예루살렘 포스트(Jerusalem Post)와 같은 고도의 공개 사이트에 대한 보다 주목할만한 공격이 뉴스 헤드라인을 장식하고 있지만, 주목할 만한 추세는 눈에 띄지 않는 대상에 대한 일대다 사이트 변조입니다. ‘일대다’란 단일 리소스를 겨냥하여 여러 웹 사이트를 손상시키는 공격입니다. 우리가 목격한 공격들 중 다수는 중동 갈등 관계에 있다고 주장하는 공격들이 단일 IP 뒤에 존재하기 때문에, 이러한 위협 공격자들(TA)이 단일 취약한 리소스나 애플리케이션에 액세스하여 프록시 또는 해당 서버에 있는 사이트를 조작할 수 있다는 가설을 세웠습니다. 이러한 패턴을 따르는 대부분의 공격은 호스팅 공급자를 이용했습니다. 우리는 이러한 기회 공격을 고려하고 결과적으로 잠재적 인 표적 목록에서 아무도 제거하지 않으며 인터넷이 그들의 표적입니다.

위협 행위자 사이버 오류 시스템은 여러 사이트 변조 후 모두 단일 IP에서 가동

지난 2주간, 저희는 해커 포럼에서 공개적으로 발표된 사이트 변조를 분석해왔습니다. 저희가 발견한 것은 약간 예상치 못한 일이었고 확실히 흥미로웠습니다. 예를 들어, 지난 2주 동안 핵티비스트가 보고한 4,069건의 사이트 변조 공격 중 3,480개의 고유 도메인을 대상으로 했지만 고유 IP 주소는 1,426개로 제한되었습니다. 한 걸음 더 나아가 동일한 대상 목록과 관련된 고유 ASN(Autonomous System Numbers)은 약 271개에 불과했습니다.

이러한 통계는 이러한 핵티비스트들이 추구하는 타겟의 유형에 대한 볼륨을 말해줍니다. 자신의 사이트가 위험에 처해 있는지 여전히 궁금하다면 … 잘 있습니다! 인신매매가 적은 사이트가 이 전쟁에 휘말리기에는 너무 작다고 생각할 수도 있지만, 현실은 공격자들이 핵티비즘이라는 이름으로 누군가의 사이트에 깃발을 올릴 수 있는 모든 기회를 이용하고 있다는 것입니다. 각 TA의 동기에 대해 이야기할 수는 없지만, 성공을 축하하기 위해 기다리는 사람들로 가득 찬 방에 게시할 때 신뢰성을 얻고 자부심을 자극하려는 욕구가 있을 가능성이 높습니다. 우리의 가설을 설명하기 위해 몇 가지 예를 살펴보겠습니다.

위협 배우: SanRei

이 예에서는 SanRei라는 이름의 TA를 살펴보겠습니다. 이 개인은 23개의 고유 IP 주소와 15개의 ASN에 걸쳐 69개의 고유 도메인을 대상으로 했습니다. SanRei의 목표 중 72%는 단일 호스팅 제공업체의 ASN 내에 있습니다.

또한, 9 개의 도메인을 분석 한 후, 우리는 사이트의 몇 가지 동일한 텍스트 / 사본이 포함되어 있지만 다른 그래픽, 페이지 레이아웃 및 테마를 발견했습니다. 이 사이트들은 확실히 관련이 있는 것 같습니다. TA가 사이트를 만들고 통제했는지, 나중에 전보 채널에서 훼손하고 자랑했는지 여부는 증명하기가 어렵지만 확실한 가능성입니다.

동일한 IP에서 호스팅되는 매우 유사한 콘텐츠를 가진 웹 사이트는 나중에 SanRai에 의해 훼손되었다고 주장했습니다.

위협 행위자: ./brilliant

다음으로 ./brilliant라는 이름의 TA 작업을 조사한 결과, 이 개인은 229개의 고유 IP 주소와 61개의 ASN을 통해 1,112개의 고유 도메인을 타겟팅했습니다. ./brilliant 타겟 도메인의 70%가 Universitas Gadjah Mada의 ASN 내에 있습니다. ./brilliant는 *.web.ugm.ac.id에서 다수의 개별 블로그를 호스팅하는 단일 앱에서 취약점을 발견한 것으로 보입니다.

Successful attacks were highly concentrated on a single ASN

액면가로 ./Brilliant는 700 개 이상의 웹 사이트를 손상 한 것처럼 보이지만 현실은 많은 개별 블로그를 조작하기 위해 액세스 권한을 활용하는 것입니다. 꽤 성공적인 일대다 타협.

위협 행위자: AnonCyber504_ID

이 핵티비스트들은 가짜 웹사이트와 블로그를 표적으로 한 것이 아니라 합법적인 비즈니스 웹사이트도 표적 목록에 있습니다. 위협 행위자 AnonCyber504_ID는 37개의 고유 IP 주소와 16개의 ASN을 통해 60개의 고유 도메인을 대상으로 했습니다. AnonCyber504의 목표 중 46%는 한 호스팅 제공업체의 ASN 내에 있으며 많은 수가 합법적인 비즈니스에 속한 것으로 보입니다.

Message left by AnonCyber504 on legitimate business websites

우리가 조사한 훼손된 사이트는 포춘 500대 기업에 속하지 않았지만 핵티비스트와 기타 TA가 대기업이든 소규모 기업이든 정부 기관이든 민간 기업이든 사이트를 무차별적으로 타겟팅하는 것처럼 보입니다.

결론

우리는 당신이 전에 이러한 대부분에 대해 들어 본 적이 있다고 확신하지만, 일대다 핵티비스트 공격으로부터 웹 사이트를 보호하기 위해 무엇을 할 수 있습니까?

다단계 인증
권장 사항 목록에 이 내용이 포함되어 있는 것이 지겨우십니까? “당신이 그것을 말하는 것에 지쳤을 때, 사람들은 그것을 듣기 시작합니다.”라는 속담이 있습니다. 이 경우 웹 리소스 및 관리자 패널에 액세스할 수 있는 모든 계정에 MFA가 적용되었는지 확인합니다.

엔드포인트 보호
6개월 전에 중단된 엔드포인트 보호 롤아웃 프로젝트가 있을 수 있습니다. 그것을 다시 돌려, 그것은 우선 순위를 만들 시간입니다. 이는 향후 보안 워크로드를 줄이는 데 큰 도움이 될 수 있습니다.

패치 관리
패칭은 감사하지 않은 작업이며 영원히 실행되지만 매우 필요합니다. 이러한 일대다 공격이 어떻게 발생하고 있다고 생각하십니까? 좋은 프로그램을 구축하는 시간을 가지고, 당신은 장기적으로 자신에게 감사 할 것입니다.

웹 애플리케이션 및 API 보호
앞서 언급했듯이 패칭은 어렵지만, 특히 DDoS 방어, API 보안, 봇 관리 기능이 내장된 클라우드 기반 WAF(Web Application Firewall)를 활용하면 취약점이 발견되고 패치가 배포되는 시점까지 가상 패칭 등의 기능을 통해 안전하게 보호할 수 있다는 것을 알고 보다 쉽게 숨을 쉴 수 있습니다.

모든 사이트 보호
대부분의 성숙한 조직은 이러한 보호 장치를 많이 갖추고 있지만 핵티비스트가 수행하는 최근 활동은 “왕관 보석”사이트뿐만 아니라 모든 웹 자산을 보호하는 것이 중요하다는 것을 강조합니다.

사용자 교육
이 문구는 매우 많은 메스꺼움을 야기하지만, 우리는 완전히 과소 평가되었다고 생각합니다. 이러한 일대다 공격의 대부분이 피싱 공격으로 시작되었다고 해도 놀랄 일은 아닙니다. 시간을 내어 팀에서 이러한 모든 보안 제어가 필요한 이유를 이해하도록 하십시오. 여기서 핵심은 시기 적절하고 관련성이 높으며 몰입도가 높은지 확인하는 것입니다. 참여를 유도하는 데 문제가 있습니까? 밖으로 도달; 우리 팀은 도움이 될 아이디어의 톤이 있다.

수상 경력에 빛나는 Edgio의 WAAP(Web Application and API Protection) 솔루션에 대한 자세한 내용은 보안 전문가에게 문의하십시오.