피드로 돌아가기
Anatomy of a Low-Detection Credential Phishing Campaign
Dev.toDev.to
Security

AV 탐지율 3%의 Fileless HTML Phishing 공격 분석

Anatomy of a Low-Detection Credential Phishing Campaign

KL3FT3Z2026년 5월 1일8intermediate

AI 요약

Context

전통적인 AV 엔진의 Binary 기반 Signature 탐지 한계를 악용한 Fileless 공격 사례 분석. PDF로 위장한 SHTML 파일을 통해 브라우저 Sandbox 내에서 직접 실행되어 정적 분석을 우회하는 구조임.

Technical Solution

  • PDF.SHTML 이중 확장자를 통한 사용자 신뢰 기반의 Social Engineering 유도
  • Pure HTML 및 JavaScript 구성으로 Binary Payload를 제거한 Fileless 실행 구조 설계
  • ip-api.com을 통한 Geo-IP 정보 수집으로 공격 대상의 위치 및 ISP 정보 Reconnaissance 수행
  • HTML Form을 통한 Credential Harvesting 및 C2 서버(report.php)로의 POST 기반 Exfiltration 구현
  • Google Static Image로의 Delayed Redirect를 통한 공격 흔적 은폐 및 분석 방해
  • 고엔트로피(5.42)의 JavaScript Obfuscation을 적용하여 정적 코드 분석 효율 저하

실천 포인트

1. 이중 확장자(.pdf.shtml) 및 비정상적 MIME Type 파일의 브라우저 실행 차단 정책 검토

2. 외부 Geo-IP API 및 알려지지 않은 도메인으로의 POST 요청에 대한 EDR 모니터링 강화

3. 사용자 로그인 폼 요구 시 도메인 일치 여부를 검증하는 브라우저 기반 보안 강화

4. 스크립트 엔트로피가 비정상적으로 높은 HTML 파일에 대한 격리 분석 프로세스 도입

태그

#C2 Server#MITRE ATT&CK#Fileless#Credential Harvesting#Obfuscation
원문 읽기