[스피어피싱] 3강 파일리스 공격(LoL 바이너리)

1. LoL 바이너리(LoL Bins)

• 시스템에 설치되어 있으며 별도의 수정없이 바로 사용 가능한(= Built-in) 기능을 가진 정상적인 실행 파일을 의미
• 주로 관리 목적으로 사용되는 경우가 많아 공격에 악용 가능

 

1.1 공격 관점 기능

LoLBAS

 

• LoL Bins의 공격 관점 기능에 대해서 LoLBAS 프로젝트에서 확인 가능

 

2. 프로세스 인젝션

2.1 정의

• 정상적인 프로세스의 유저 메모리 영역에 악성 코드를 기록한 후 실행하는 기술

 

2.2 사용 목적

• 주로 디펜스 우회나 권한 상승을 위해 사용
  • 악성 코드를 삽입하는 정상적인 프로세스는 보통 LoL Bins로 정상 동작 파일들이기에 Anti-Virus등에서 탐지하기 어려움
  • 또한 해당 파일들은 보통 시스템 권한으로 실행 중이기에 사용 권한또한 높음
• 주입된 코드는 정상적인 프로세스의 컨텍스트에서 실행되므로 프로세스의 이름, 실행 파일의 경로 등 일반적인  정보만을 가지고 탐지하기 어려움
• 타겟 프로세스에 주입하여 실행할 코드를 네트워크를 통해 다운로드 하는 경우 하드디스크 등 2차 저장매체에 코드를 남기지 않음

 

2.3 API 호출 예시

• OpenProcess(), VirtualAllocEx(), WriteProcessMemory() 등의 함수를 사용한다면 해당 악성 코드는 프로세스 인젝션 기능을 가지고 있는 것으로 유추 가능

 

•  explorer.exe는 Windows 쉘 프로그램으로서 네트워크 통신을 하지 않음
  • 네트워크 통신을 할 경우 프로세스 인젝션 공격으로 의심 필요
• 이렇듯 프로그램들에 대한 특성을 파악하여 정상/비정상 유무 식별 가능해야 함