Kant's IT/Issue on IT&Security

LNK 메타데이터 악용

Kant Jo 2024. 11. 12. 09:30

Exploiting LNK Metadata

 

Exploiting LNK Metadata

Anyone who's followed me for a bit knows that I'm a huge proponent of metadata, and in particular, exploiting metadata in LNK files that thr...

windowsir.blogspot.com

 

  • LNK 파일과 메타데이터의 중요성
    • LNK 파일은 위협 행위자들이 피싱 캠페인에서 자주 사용하는 단축키 파일로, 이들 파일에는 중요한 메타데이터가 포함되어 있음
    • 메타데이터는 공격자가 사용하는 개발 환경파일 생성 방법과 관련된 단서를 제공할 수 있음
  • LNK 메타데이터 활용 방법
    • 위협 인텔리전스(CTI) 관점에서, LNK 파일의 메타데이터 분석을 통해 공격자의 환경을 파악할 수 있음
    • 예시로, JPCERT가 LNK 파일 분석을 통해 개발 환경을 추적하는 방법을 설명한 바 있음
    • Mandiant는 2016년과 2018년의 Cozy Bear 캠페인에서 발견된 LNK 파일을 비교해, 볼륨 일련 번호기계 ID 등에서 유사점을 찾아냄
  • LNK 메타데이터 수집의 도전과제
    • Splunk의 기사에 따르면, LNK 파일 분석에서 메타데이터를 수동으로 추출하는 과정은 비효율적이고 오류가 발생하기 쉬움
    • 메타데이터 및 추가 데이터 블록의 분석이 누락된 경우가 많아, 이를 통해 더 심층적인 정보를 얻는 것이 중요함
  • 실제 환경에서의 활용 방안
    • Sysmon을 사용하면 이벤트 ID 11을 통해 파일 생성수정을 추적할 수 있음
    • LNK 파일을 생성할 때, 파일 헤더의 매직 넘버GUID를 분석하여 LNK 파일을 식별 가능
    • EDR(Endpoint Detection and Response) 솔루션이 유사한 텔레메트리를 생성할 수 있다면, 이를 통해 LNK 파일을 감지하고, 사용자 실행 전에 조치를 취할 수 있음
  • 보안 권고사항
    • LNK 파일 기반의 행위 탐지는 어려우므로, 디스크에 기록될 때 해당 파일을 탐지하여 사용자가 파일을 실행하기 전에 조치를 취하는 것이 중요
    • 만약 EDR 솔루션이 이러한 기능을 제공하지 않는다면, MDR(Managed Detection and Response) 제공업체와 협력하여 기능을 추가하도록 요청할 수 있음