작은 메모장
파일리스(Fileless) 공격 개요 본문
파일리스 공격이란?
실행되는 코드가 파일(.dll, .exe)로 생성되지 않고 메모리에만 존재
흔적을 남기지 않는 공격
== 디스크 터지를 하지 않으려는 성향의 공격
왜?
과거 스캐닝 기술이 떨어지던 시절에는 표적 시스템에 악성코드를 직접 업로드하여 공격했음
이 과정에서 디스크 터치가 무조건 발생
시간이 지나면서 엔드포인트에 설치된 다양한 안티바이러스 프로그램들이,
윈도우 운영체제 함수를 실시간 모니터링
인가되지 않은 작업이 운영체제 퍼포먼스에 영향을 끼침 => 걸림
파일리스 공격의 특징은...
1. 프로세스 인젝션 기술을 사용
정상 프로세스에 공격자가 악성코드 혹은 라이브러리를 로딩
= 정상 프로세스 메모리에서만 공격이 시행됨
= 디스크 터치가 발생하지 않음
2. LoL 바이너리들을 활용
Living off the Land, 기본적으로 설치되어 제공되는 프로그램(LoL Bins)들만 가지고 공격을 수행
= 별도의 악성코드 혹은 프로그램이 업로드 될 필요 없음
= 디스크 터치가 발생하지 않음
3. 스크립팅
기존에 설치되어 있는 빌트 인터프리터(Shell 등)에게 일련의 스크립트 텍스트 파일을 전달하여 실행
= 기존 인터프리터가 실행이 된 것이므로 정상 행위로 판단
= 디스크 터치가 발생하지 않음
4. 파일리스 퍼시스턴스
퍼시스턴스 전술(Technique), 시스템 재실행 시 악성 프로그램이 재실행되도록 설정
= 레지스트리 RUN 값을 수정하여 디스크 내의 특정 파일을 재부팅 시 자동으로 실행하도록 설정
= 결국에는 디스크 터치가 한번은 일어나야 함
= 잘 안씀
'KISA 사이버 보안 훈련 > 스피어피싱 대응 기본' 카테고리의 다른 글
스피어 피싱 이메일 분석 이론 (0) | 2023.05.21 |
---|---|
파일리스(Fileless) 공격 LoL 바이너리 (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 활용 (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 (2) (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 (1) (0) | 2023.05.17 |