블로그

금융 맬웨어와 그들의 속임수: Man In The Browser 공격

Shahnawaz 후원자 썸네일
샤나와즈 백커
2016년 5월 23일 게시

맬웨어와 그 영향

악성 소프트웨어로 인해 금융 산업은 수십억 달러의 손실을 입었고, 이는 돌이킬 수 없는 일입니다. 이 시점에서 이 분야가 매우 수익성이 높기 때문에 맬웨어 작성자가 새로운 공격을 고안할 것이라고 생각할 수 있지만 반대로 맬웨어는 코드를 재사용하고 다른 형태로 환생하고 있습니다.  대부분의 맬웨어는 악의적인 목적을 위해 Man in The Browser(MiTB), Man in The Middle[MITM] 등의 익스플로잇을 사용합니다.

 이 문서에서는 Man in the Browser와 F5의 사기 방지 솔루션(FPS) 기반 완화책에 대해 설명합니다. 이 공격 벡터를 활용하는 것으로 알려진 악성 소프트웨어가 많이 있습니다.  Bugat, Gozi, Tatanga, SpyEye, Zeus는 MiTB 기술을 사용한 잘 알려진 맬웨어 중 일부입니다.

브라우저 속의 남자란 무엇인가?

브라우저를 감염시키고 사용자에게 제공되거나 서버에 제출되기 전에 페이지와 거래를 은밀하게 수정하는 트로이 목마를 MiTB라고 요약할 수 있습니다.

대부분의 브라우저는 기능을 확장하는 기능을 제공합니다. Windows의 경우 브라우저 도우미 객체, Google Chrome의 경우 확장 프로그램, Firefox의 경우 플러그인 등으로 제공됩니다. 이런 확장 기능은 사용자 정의된 브라우징을 가능하게 하고 제공하지만, 맬웨어의 도구로도 사용됩니다. 다음에 당신이 좋아하는 은행에 로그인했을 때 이런 메시지가 나타난다면, MiTB가 활성화되었다고 말할 것입니다.

 

 

안타깝게도 공격자들은 매우 교묘하고 미묘하며, 이 모든 것이 베일에 싸여 있습니다. 그들은 브라우저의 기능을 이용해 사용자 탐색 경험을 향상시키고 이를 더욱 사악한 용도로 사용합니다. 아래 화면 캡처는 탈취한 자격 증명을 이용해 드롭 존에 은밀한 요청을 하는 맬웨어를 보여줍니다.

 

F5의 사기 방지 솔루션이 답입니다

사기꾼은 브라우저를 사용하여 정보를 훔치고 서버는 클라이언트 측에서 발생하는 이러한 거래를 전혀 알지 못합니다.  지금 당장 필요한 것은 고객의 브라우저 탐색 습관을 방해하거나 변경하지 않고도 고객의 브라우저에서 발생하는 거래를 모니터링하는 것입니다.  F5의 FPS는 이러한 의심스러운 활동을 모니터링하는 데 도움이 됩니다.

MiTB 공격을 방어하기 위한 F5의 고유한 기능 중 일부는 다음과 같습니다.

 

  • HTML 양식 필드 난독화: 사용자 이름과 비밀번호와 같은 민감한 필드 이름은 무작위 문자열로 바뀌어 특정 DOM(문서 개체 모델) 요소를 찾는 자동화된 스크립트를 무력화합니다.
  •  

     

  • 민감한 필드의 실시간 암호화: 식별된 중요 필드는 사용자가 입력할 때 암호화됩니다.
  •  

     

  • 브라우저 기반 키로거를 무력화하는 가짜 스트로크:  생성된 키 입력은 브라우저 기반 키로거를 무력화하여 실제 사용자 입력을 숨깁니다.
  •  

     

  • 맬웨어에 의한 외부 스크립트 주입에 대한 경고: FPS는 AJAX가 다른 도메인에 게시물을 올린 경우 은행에 경고를 보냅니다.
  •  

    결론

    브라우저 내부 공격은 채널 암호화를 무력화하고 브라우저에서 기밀 정보를 훔칠 수 있습니다. F5의 FPS 솔루션은 보안 격차를 메우고 조직에 사용자 브라우저에서 가시성과 보호 기능을 제공합니다.

    리소스