작은 메모장

파일리스(Fileless) 공격 개요 본문

KISA 사이버 보안 훈련/스피어피싱 대응 기본

파일리스(Fileless) 공격 개요

으앙내눈 2023. 5. 17. 20:55

파일리스 공격이란?

실행되는 코드가 파일(.dll, .exe)로 생성되지 않고 메모리에만 존재

흔적을 남기지 않는 공격

== 디스크 터지를 하지 않으려는 성향의 공격

 

왜?

과거 스캐닝 기술이 떨어지던 시절에는 표적 시스템에 악성코드를 직접 업로드하여 공격했음

이 과정에서 디스크 터치가 무조건 발생

시간이 지나면서 엔드포인트에 설치된 다양한 안티바이러스 프로그램들이,

윈도우 운영체제 함수를 실시간 모니터링

인가되지 않은 작업이 운영체제 퍼포먼스에 영향을 끼침 => 걸림

 

파일리스 공격의 특징은...

1. 프로세스 인젝션 기술을 사용

정상 프로세스에 공격자가 악성코드 혹은 라이브러리를 로딩

= 정상 프로세스 메모리에서만 공격이 시행됨

= 디스크 터치가 발생하지 않음

2. LoL 바이너리들을 활용

Living off the Land, 기본적으로 설치되어 제공되는 프로그램(LoL Bins)들만 가지고 공격을 수행

= 별도의 악성코드 혹은 프로그램이 업로드 될 필요 없음

= 디스크 터치가 발생하지 않음

3. 스크립팅

기존에 설치되어 있는 빌트 인터프리터(Shell 등)에게 일련의 스크립트 텍스트 파일을 전달하여 실행

= 기존 인터프리터가 실행이 된 것이므로 정상 행위로 판단

= 디스크 터치가 발생하지 않음

4. 파일리스 퍼시스턴스

퍼시스턴스 전술(Technique), 시스템 재실행 시 악성 프로그램이 재실행되도록 설정

= 레지스트리 RUN 값을 수정하여 디스크 내의 특정 파일을 재부팅 시 자동으로 실행하도록 설정

= 결국에는 디스크 터치가 한번은 일어나야 함

= 잘 안씀