SOC Prime Bias: 높음

30 Jun 2026 07:00 UTC

로그인 필드를 넘어서: 사용자가 준비되지 않은 피싱 교묘한 수법

Author Photo
SOC Prime Team linkedin icon 팔로우
로그인 필드를 넘어서: 사용자가 준비되지 않은 피싱 교묘한 수법
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

현대적 피싱은 단순한 자격 증명 탈취를 넘어 ClickFix, 브라우저 내 브라우저, OAuth 동의 피싱, 디바이스 코드 피싱, 가짜 화상 회의 오버레이와 같은 고급 기술을 포함하고 있습니다. 이러한 접근 방식은 신뢰할 수 있는 시스템 도구, 합법적인 클라우드 플랫폼, 일반적인 사용자 문제 해결 동작을 악용하여 전통적인 인식 훈련을 회피합니다. 비밀번호를 도용하는 것만이 아니라, 공격자는 사용자가 악성 세션을 승인하도록 설득하거나 네이티브 터미널 유틸리티를 통해 명령을 실행하도록 유도하여 다중 인증을 우회하려고 점점 더 시도하고 있습니다.

조사

Huntress는 관리형 EDR 및 ITDR 서비스를 통해 이러한 변화하는 전술을 관찰하고, 브라우저 네이티브 악용 및 사회 공학 지름길에 대한 광범위한 전환을 식별했습니다. 팀은 디바이스 코드 피싱의 급격한 증가를 주목하고, ClickFix 스타일 공격이 사용자 근육 기억을 어떻게 악용하여 악성 명령 실행을 유도하는지를 조사했습니다. 이 연구는 또한 공격자가 Microsoft와 Google 같은 합법적인 플랫폼에 대한 사용자 신뢰를 어떻게 악용하여 무단 접근을 얻는지를 보여줍니다.

완화 조치

조직은 정적 보안 인식 프로그램을 넘어 현재의 피싱 기술을 반영한 대화형 시뮬레이션을 채택해야 합니다. 사용자는 브라우저 프레임 밖으로 드래그할 수 없는 가짜 창을 포함한 의심스러운 브라우저 동작을 식별하고 자신이 시작하지 않은 디바이스 인증 코드 입력을 피하도록 훈련받아야 합니다. 또한 무단 OAuth 권한과 의심스러운 명령 실행 활동을 탐지하기 위해 강력한 ITDR 및 EDR 통제가 필수적입니다.

대응

의심스러운 명령 실행이 감지되면, Win+R 뒤에 예상치 못한 터미널 활동이 있을 경우, 대응자는 즉시 엔드포인트를 격리해야 합니다. OAuth 또는 디바이스 코드 타협이 의심되는 경우, 관리자는 영향을 받은 계정의 모든 활성 세션과 갱신 토큰을 취소하고 최근 응용 프로그램 승인 활동을 검토해야 합니다. 감사 로그에서도 비정상적인 Microsoft Entra ID 이벤트와 무단 RMM 도구 설치 징후를 확인해야 합니다.

공격 흐름

시뮬레이션 실행

사전 조건: Telemetry 및 Baseline 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하기 위해 설계된 적대적 기술 전술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하려고 합니다. 추상적이거나 관련이 없는 예시는 오진을 초래할 수 있습니다.

  • 공격 서술 및 명령: 적대자는 사용자를 속이기 위해 가짜 “CAPTCHA” 또는 “브라우저 업데이트” 프롬프트를 사용합니다. 프롬프트는 사용자가 Win+R을/를 누른 뒤 Ctrl+V을/를 누른 뒤 Enter 을/를 눌러 “사람임을 확인”하도록 지시합니다. 사용자는 알지 못하게 악성 명령을 붙여넣어 “CAPTCHA_verification.txt”라는 파일을 생성하고 사용자의 “붙여넣기” 입력을 가장하는 명령을 실행합니다. 이 시뮬레이션은 “CAPTCHA_file.txt”라는 파일을 생성하고 “Ctrl+V” 및 “Enter” 문자열을 포함한 명령을 실행하여 규칙의 선택1 조건을 충족합니다. 선택2 and 조건을 충족합니다. 조건을 충족합니다.

  • 회귀 테스트 스크립트:

    # ClickFix TTP 시뮬레이션
    # 1. 'CAPTCHA'라는 이름을 가진 파일을 생성하여 선택2를 트리거 (EventID 11)
    $filePath = "$env:TEMPCAPTCHA_instruction.txt"
    New-Item -Path $filePath -ItemType File -Force
    
    # 2. 명령 줄에서 'Ctrl+V'와 'Enter'를 포함한 프로세스를 실행하여 선택1을 트리거 (EventID 1)
    # 우리는 cmd.exe를 대상 프로세스로 사용합니다.
    Start-Process cmd.exe -ArgumentList "/c echo User pressed Ctrl+V and Enter > $filePath"
  • 정리 명령:

    # 시뮬레이션 아티팩트 정리
    Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue