최근 악성코드 유포나 위협 공격 등에 LOTL (Living Off The Land) 라는 개념이 자주 사용된다. 해당 개념은 "정상적인 파일/도구를 이용한 악성 행위 수행"을 의미한다. 예를 들어, 정상적인 윈도우 실행 도구(파워쉘, cmd 등)을 이용해 악성 행위를 수행하는 스크립트나 파일을 실행하는 등을 말한다.
이와 관련해 CISA 측에서 대응 방안을 발표하였다. 전체 내용은 아래 URL을 통해 확인할 수 있다.
https://www.cisa.gov/resources-tools/resources/identifying-and-mitigating-living-land-techniques
Identifying and Mitigating Living Off the Land Techniques | CISA
This Joint Guidance, Identifying and Mitigating Living Off the Land Techniques, was co-authored by CISA, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and the following agencies: U.S. Department of Energy (DOE) U.S. Enviro
www.cisa.gov
해당 내용 중 눈에 띄는 것을 정리하면 아래와 같다.
CISA 측의 대안
1. 로깅 활성화 및 자세한 로깅
2. 보안 정보 및 SIEM 등의 이벤트 관리 솔루션 사용
3. 계정 동작, 일반적으로 사용되는 도구, 서비스, 시스템 상호 통신 등 관찰
4. 네트워크 모니터링, 위협 사냥 강화
5. 권한 있는 계정에 대한 비정상 행위 탐지
6. PLIST 파일 및 예약 작업에 대한 정기 검사 수행 (MacOS)
7. Run / RunOnce와 같은 자동 시작 위치 및 지속성에 자주 사용되는 영역에 대한 변경 사항 감시 (Windows)
8. 비정상적인 API 호출, 보안 그룹 변경, 민감한 데이터 액세스 등에 대한 모니터링 (클라우드 환경)
9. 일반적으로 사용되지 않는 프로세스:포트 조합에 대한 의심
10. Sysmon 로그 등을 파싱, ADS(대체 데이터 스트림)를 활용하는 악의적인 사용 식별 등 수행
11. 이스케이프 문자의 광범위한 사용, 과도한 base64 인코딩, 과도한 특수문자 사용 등을 로그에서 탐지
NTDSUtil.exe 탐지
- 이벤트 ID 4688이 포함된 보안 로그 / 이벤트 ID 1 이 포함된 Sysmon 로그 주의
- 이벤트 ID 11 이 포함된 Sysmon 로그 / 이벤트 ID 4673이 포함된 보안 로그 주의
PSExec.exe 탐지
- 이벤트 ID 4688이 포함된 보안 로그 / 이벤트 ID 1이 포함된 Sysmon 로그 주의
- 이벤트 ID 4672가 포함된 보안 로그 / 이벤트 ID 4648이 포함된 보안 로그 주의
- 이벤트 ID 3 / 12 / 13 / 14 가 포함된 Sysmon 로그 주의
또한, LOTL 공격에 자주 사용되는 프로그램/스크립트/도구 등이 정리된 페이지도 소개한다.
UNIX - https://gtfobins.github.io/
GTFOBins
pg Shell File read SUID Sudo
gtfobins.github.io
MacOS - https://www.loobins.io/
LOOBins
Living Off the Orchard: macOS Binaries.
www.loobins.io
Windows - https://www.loldrivers.io/
LOLDrivers
www.loldrivers.io
위 세개의 사이트와 비슷하게 github에 공개된 LOTL 공격 도구 정리본도 존재한다.
https://github.com/api0cradle/LOLBAS?tab=readme-ov-file
GitHub - api0cradle/LOLBAS: Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts)
Living Off The Land Binaries And Scripts - (LOLBins and LOLScripts) - api0cradle/LOLBAS
github.com
LOTL 공격 자체는 어려운 개념이라기보다는 방어하기 까다로운 개념에 속하는 것 같다. 공격 예시를 생각해보면 아래와 같은 예시를 들 수 있다.
1. 공격자가 RDP 등을 이용, 피해자 PC 조작 권한 획득
2. cpuz 와 같은 정상 프로그램 이용, 피해자 PC 정보 획득
3. powershell/mshta 등을 이용, 탈취 정보 C2 전송
위 예시에서 cpuz를 사용하거나 powershell/mshta를 사용한다고 해서 무조건 악성이라고 판단할 수는 없다. 따라서, 해당 프로그램/스크립트/도구 사용시 함께 들어가는 인자 값에 대한 검사나 PC에서 발생하는 로그 등을 이용해 악성 행위 탐지가 필요해보인다. (매우 어려운 것으로 예상)
'Reversing' 카테고리의 다른 글
| 12. Tor 주소 추적 (0) | 2024.03.13 |
|---|---|
| 10. FUD(Fully UnDetectable) (0) | 2023.10.05 |
| 09. Anti-Debugging (0) | 2018.06.15 |
| 08. angr (0) | 2017.11.01 |
| 07. arm 어셈블리어 정리 (0) | 2017.10.27 |
