14. LOTS (Living Off Trusted Sites)

LOTS (Living Off Trusted Sites)는 공격자들이 사용하는 정상적인 웹 사이트를 말한다. mrd0x에 의해 하나의 프로젝트로 웹 사이트 목록이 관리되고 있다. LOTS는 LOLBIN 과 같이 분석가 혹은 관제 인원이 얼핏 봤을 때, 정상적인 네트워크 요청/응답으로 보이게끔 하여 악성코드 유포 등에 있어 탐지나 분석의 회피를 의도한다.

* 프로젝트 주소: https://lots-project.com/

LOTS Project - Living Off Trusted Sites

보통 공격자들이 LOTS를 구글 드라이브, 원드라이브, 레딧, 깃허브, 노션 등과 같이 일반적으로 저장소나 코드 관리 목적 등으로 자주 사용되는 정상적인 사이트를 통해 악용한다. 정상적인 저장소, 코드 저장소 등을 통해 추가 악성코드를 유포하거나 악성코드의 C2 서버로 이용해 여러가지 명령을 내리는 등의 방법으로 사용한다. 아래는 LOTS의 도식도이다.

 

LOTS 도식도 / 참조:https://www.레드팀.com/initial-access/living-off-trusted-sites

 

최근들어 북한 배후 그룹(Kimsuky, APT37 등)이나 여러 RAT 악성코드에서 Discord 채널을 사용해 명령을 주고받는 등의 행위가 LOTS에 해당된다고 볼 수 있다. 또한, 단순한 저장소를 넘어서 텔레그램 등의 메신저도 LOTS에 활용되고 있다.

https://p3ngdump.tistory.com/173

102. Operation Salary

 

LOTS 기법을 이용해 가능한 공격 시나리오는 여러가지가 있다. 예를 들어, 다음과 같은 공격 시나리오를 생각해볼 수 있다.

  1. 공격자는 reddit에 명령어들이 담겨있는 글을 업로드

  2. 피해자에게 여러 경로를 통해 RAT 악성코드 유포 및 피해자가 RAT에 감염

  3. RAT의 C2 서버로 reddit 포스트를 사용

  4. 피해자 PC의 응답 값을 reddit 포스트의 댓글로 기록

  5. 공격자는 reddit 포스트의 댓글을 통해 감염 PC를 관리

 

국내에는 reddit이 넓게 퍼져있지 않지만, 해외의 경우라면 분석가 입장에서 직접 reddit의 글에 접속해보기전까지 혹은 악성코드가 해당 reddit에 연결하는 행위를 파악하기 이전까지는 이상함을 느낄 수 없을지도 모른다. 국내로 비유해보자면 reddit이 dcinside 혹은 naver 블로그 등으로 변경된다고 생각할 수 있겠다.

 

LOLBIN, LOTS 등과 같은 기법이 퍼지면 악성코드 / 악성코드 유포의 탐지가 더 어려워지는 것이 당연하다. 또한, 분석가도 "진짜" 악성 행위가 맞는지 판별하기가 더 어려워질 것이다. 공격자들은 이러한 점을 노리고 LOLBIN, LOTS 와 같은 공격 기법을 사용한다고 볼 수 있다. 하지만, LOLBIN, LOTS 등에 사용되는 프로그램이나 웹 사이트들도 무한정하다고 볼 수는 없을 것이다. 가능한 후보군을 파악해 분석 시에 한 번 더 의심하는 것이 필요하지 않을까 생각된다.