Reversing (16) 썸네일형 리스트형 16. FileFix Attack 보호되어 있는 글입니다. 15. LOLBAS (Living Off The Land Binaries, Scripts and Libraries) 본 글에서는 예전에 정리했던 LOTL(Living Off The Land)와 관련되어 LOLBAS(Living Off The Land Binaries, Scripts and Libraries)도 정리한다.https://p3ngdump.tistory.com/136 11. LOTL (Living Off The Land)최근 악성코드 유포나 위협 공격 등에 LOTL (Living Off The Land) 라는 개념이 자주 사용된다. 해당 개념은 "정상적인 파일/도구를 이용한 악성 행위 수행"을 의미한다. 예를 들어, 정상적인 윈도우 실p3ngdump.tistory.com LOTL은 정상적인 파일 또는 도구를 사용해 악성 행위를 수행하는 기법을 말한다. 즉, regsvr.exe 와 같은 정상적인 windows .. 14. LOTS (Living Off Trusted Sites) LOTS (Living Off Trusted Sites)는 공격자들이 사용하는 정상적인 웹 사이트를 말한다. mrd0x에 의해 하나의 프로젝트로 웹 사이트 목록이 관리되고 있다. LOTS는 LOLBIN 과 같이 분석가 혹은 관제 인원이 얼핏 봤을 때, 정상적인 네트워크 요청/응답으로 보이게끔 하여 악성코드 유포 등에 있어 탐지나 분석의 회피를 의도한다.* 프로젝트 주소: https://lots-project.com/ LOTS Project - Living Off Trusted SitesLiving Off Trusted Sites (LOTS) Project Attackers are using popular legitimate domains when conducting phishing, C&C, exfilt.. 13. ClickFix Attack ClickFix 공격 기법은 지난 2024년 3월경 처음 발견되었다. 해당 공격은 Malvertising 공격 중 하나로도 분류된다. 공격은 아래와 같이 이루어진다. 1. 피싱 사이트에 피해자가 접속2. 접속 사이트에서 미상의 이유로 "Fix it" 등의 버튼을 누르도록 유도3. 버튼 클릭 유도와 함께 클릭 후 명령어를 실행하도록 안내문 노출4. 페이지 안내대로 수행 시, 추가 스틸러 등 다운로드 및 실행 위 과정에서 볼 수 있듯 사회공학적 요소가 다분히 존재한다. 아래 그림은 sekoia 에서 공개한 4가지 ClickFix 공격의 유형이다. 아래 그림에서 볼 수 있듯 "윈도우 + R" (실행 프로그램 시작 단축키)를 실행 후 명령어를 복사하고 명령어를 실행하도록 유도한다. 비슷한 사례로, proofpo.. 12. Tor 주소 추적 보호되어 있는 글입니다. 11. LOTL (Living Off The Land) 최근 악성코드 유포나 위협 공격 등에 LOTL (Living Off The Land) 라는 개념이 자주 사용된다. 해당 개념은 "정상적인 파일/도구를 이용한 악성 행위 수행"을 의미한다. 예를 들어, 정상적인 윈도우 실행 도구(파워쉘, cmd 등)을 이용해 악성 행위를 수행하는 스크립트나 파일을 실행하는 등을 말한다. 이와 관련해 CISA 측에서 대응 방안을 발표하였다. 전체 내용은 아래 URL을 통해 확인할 수 있다. https://www.cisa.gov/resources-tools/resources/identifying-and-mitigating-living-land-techniques Identifying and Mitigating Living Off the Land Techniques | CISA.. 10. FUD(Fully UnDetectable) 보호되어 있는 글입니다. 09. Anti-Debugging 1. Anti-Debugging? 안티디버깅이란 말 그대로 디버깅을 힘들게 하는 기술을 말한다. 그렇다면 디버깅을 힘들게해서 무엇을 얻어낼 것인가?프로그램의 코드를 올리디버거등의 도구를 이용한 디버깅하는 것을 방해하는 것이다.상용 프로그램에서 사용되며, 악성코드에서 사용되기도 한다. 악성코드에서 사용될 경우, 분석가의 입장에서는 악성코드의 행위를 파악하기 힘들어진다는 점이 존재한다. 따라서, 안티디버깅을 효율적으로 해제하여 악성코드의 악성행위를 파악하는 것이 분석가의 자질로서 필요하다. 안티디버깅의 유형에는 Static 유형과 Dynamic 유형이 존재한다. 2. Static Anti-Debugging Static 안티디버깅의 특징은 프로그램의 첫 실행에서 디버거를 탐지하는 것이다. 그 후에는 더이상 탐.. 이전 1 2 다음