Fileless(파일리스) : 컴퓨터의 저장장치에 악성 파일을 저장시키지 않는다는 것.
- 하드디스크와 같은 저장 장치에 저장되어 있는 파일을 스캔하는 방식으로는 악성코드를 찾을 수 없음.
- Fileless In-Memory Attack 이라고 함. - 악성코드가 시스템 메모리(RAM)에 곧 바로 로드되어 실행되어짐.
- Fileless Malware 라고도 함.
- 동작 기반 탐지 도구를 사용하면, Filesless Malware가 침투한 후에 감지 가능.
- 두가지 종류로 구분
1) Reboot되면 자연히 사라지는 일시적인 Fileless Malware
2) Reboot되어도 실행되어지는 Persistent Filesless Malware
ㅇFileless Techniques
1) Reflective DLL injection
: Malware DLL을 CnC 서버로부터 다운받아 프로세스 메모리에 로드 시ㅣ는 방식. 이때 cnc 서버와의 통신은 TLC(Transport Layer Security) 프로토콜 같은 암호통신 프로토콜 사용. 암호통신을 사용하므로, 트래픽 분석 방법으로 탐지하기는 어려움.
2) Momery exploits
: kernel memory 보안취약점을 활용하면, malware를 kernel memory에 바로 로드시킬 수 있음. 예를들면, eternalBlue 익스플로잇을 통해 유포된 더블펄사(DoublePulsar)라고 명명된 백도어는 정교하게 만들어진 메모리 기반 kernel malware라고 함. 따라서 공격자는 자신들이 원하는 어떠한 "Shellcode"도 원격으로 실행할 수 있다. 참고로 EternalBlue는 Petya와 WannaCry에서 사용된 것으로 유명
3) Script-based techniques
: PowerShell에서 제공하는 scripting langueage 기능을 사용하는 것. "메모리에서만 실행되는 Malware"를 전달하도록 악성 Scrips를 만들어 사용한느 것. 이러한 scripts는 Registry에 숨기거나, cnc 서버로부터 다운받는 방법이 있음.
4) WMI persistence
: WMI(Windows Management Instrumentation) 바인딩을 사용하여, 주기적으로 실행되는 악성 Scripts를 저장하기 위해 WMI repository를 사용하는 방식이다. Persistent Fileless Backdoor를 심는 방법으로 사용될 수 있다.
ㅇWindows에 기본으로 설치되어 있는 Tool인 PowerShell을 사용하는 Fileless malware에 대한 동작 개념
1. 피싱 이메일(첨부된 파일 또는 URL 주소를 클릭) 또는 부정조작된 사이트 방문을 통해 “small script”만을 가진 “초기 Payload”가 시스템에 전달되어 실행되어집니다. 예를 들면, 피싱 이메일에 첨부된 MS Word file을 클릭하면, 내부에 Visual Basic으로 작성된 macro가 실행되거나, 또는 MS Word file로 가장한 script file이기 때문에 script가 바로 실행되어집니다. 내용은 PowerShell script를 실행시키는 것입니다.
2. 대개 script는 난독화(obfuscation) 되어 있기 때문에 monitoring tool로는 detect 되지 않습니다. 예를 들면, PowerShell은 “난독화된 script(예를 들면, “-e” parameter 사용하여 base64로 encoding된 script 임을 알림)”를 실행하는 기능을 제공하고 있습니다.
3. “초기 payload”는 PowerShell script로 coding되어있지만, 기능은 “최종 payload”을 다운로드 받아서 메모리에서 바로 실행되도록 합니다 PowerShell에서 제공하는 Scripting Language를 사용하면 “메모리에서만 실행되는 Malware”를 전달하는 작업을 수행하는 악성 Scripts를 만들 수 있기 때문입니다..
[출처] Fileless Attack(파일리스 공격)|작성자 AEP코리아네트
'고흐의 연구실 > IT 보안' 카테고리의 다른 글
| [APT] 라이브 호스트 스캐닝, 포트 / 서비스 정보 스캐닝 (0) | 2020.10.19 |
|---|---|
| [APT] 침투에 사용할 네트워크 침투 (SSH 패킷 포워딩/터널링) (0) | 2020.10.19 |
| [APT] 사회공학기반 네트워크 침투 (0) | 2020.10.19 |
| [APT] 표적공격 절차 및 기술요소 (0) | 2020.10.19 |
| [DLL 만들기] Visual Studio 2019 개발환경 구성 (0) | 2020.09.21 |