HTML 스머글링(smuggling)에 대해

1. HTML smuggling(스머글링)이란?

HTML5와 자바스크립의 기능을 활용해 파일 다운로드를 실시하는 것이다.

 

2. 공격 순서

①피해자가 악성링크를 클릭한다.

②링크를 통해 피해자는 여러 사이트로 우회하다가 특정 HTML 페이지에 도착한다.

③이 페이지는 duckdns.org라는 도메인에 호스팅 되어 있다.

④자바스크립트 프롬프트가 시작되면서 base64로 인코딩 된 변수로부터 블롭 객체가 활성화 된다.

 

var myBlob = new Blob([myData], {type: 'octet/stream'});

 

⑤블록 객체로부터 집(zip)파일이 만들어진다.

 

var myUrl = window.URL.createObjectURL(blob);
myAnchor.href = myUrl;

 

⑥이 zip파일이 엔드포인트로 다운로드 된다.

⑦사용자가 이 zip 파일을 열고 실행하면 MSI(마이크로소프트 인스톨러)파일이 열리면서 JavaScript를 사용해 디코딩 되고, 블롭에 배치되어 이후에 다운로드된다.

이 과정은 희생자의 웹 브라우저에서만 발생한다.

 

=>멘로의 크리슈난 서브라마니안(Krishnan Subramanian)은 이렇게 말한다.

    "보안 제품들을 속이려고 고안된 또 다른 기법 들 중 하나라고 보면 됩니다."

 

3. 공격의 특징

①취약점이나 보안 구멍을 악용하지 않고 탐지를 피해갈 수 있다.

②HTML5와 자바스크립의 정상적인 기능을 악용한다.

->앤드 포인트는 웹 서버에서 웹페이지(HTML 및 JavaScipt만 포함)를 검색

   (정해진 규칙을 기반으로 파일을 점검하는 보안 솔루션의 원리의 빈틈을 파고드는 것)

 

4. 공격 대응방안

현재 보안 시스템을 보안은 탐지가 되어야만 방어 체제를 구축하는 현대의 보안 시스템을 정확히 꿰뚫는 공격이라는 점에서 조심해야 한다.

예방적인 관점에서, 능동적인 방어가 더 구체적으로 자리잡혀야 하고 이 공격은 단순하지만 상당한 효과를 보인다.

①자바스크립트를 비활성화 한다.

②사용자 애플리케이션(MS Office 등)의 강화, 스크립트 제어 및 강화 등 엔드포인트에 전달되는 악성 콘텐츠의 영항을제한하는 조치를 한다.

③올바른 보안 원격 측정기능을 사용할 수 있는지 학인한다.

예)SysMon을 사용한 프로세스 생성 모니터링 및 MS Office 매크로 실행을 고려해보기

 

참고:www.boannews.com/media/view.asp?idx=90548&page=4&mkind=1&kind=1

      :https://outflank.nl/blog/2018/08/14/html-smuggling-explained/

 

★파일 업로드 취약점

개인적으로 웹쉘과 악성 자바스크립트 파일을 업로드해 공격하는 파일 업로드 취약점과 비슷하다고 생각했다.

이 공격은 접속을 하는 순간 웹쉘을 통해 <iframe>태그를 삽입해 여러 사이트를 경유지, 중계지로 두고 우회를 하여 유포지에 도달하면 익스플로잇(exploit)과 악성코드가 설치되는 형태이다.