- LNK 파일과 메타데이터의 중요성
- LNK 파일은 위협 행위자들이 피싱 캠페인에서 자주 사용하는 단축키 파일로, 이들 파일에는 중요한 메타데이터가 포함되어 있음
- 메타데이터는 공격자가 사용하는 개발 환경 및 파일 생성 방법과 관련된 단서를 제공할 수 있음
- LNK 메타데이터 활용 방법
- 위협 인텔리전스(CTI) 관점에서, LNK 파일의 메타데이터 분석을 통해 공격자의 환경을 파악할 수 있음
- 예시로, JPCERT가 LNK 파일 분석을 통해 개발 환경을 추적하는 방법을 설명한 바 있음
- Mandiant는 2016년과 2018년의 Cozy Bear 캠페인에서 발견된 LNK 파일을 비교해, 볼륨 일련 번호 및 기계 ID 등에서 유사점을 찾아냄
- LNK 메타데이터 수집의 도전과제
- Splunk의 기사에 따르면, LNK 파일 분석에서 메타데이터를 수동으로 추출하는 과정은 비효율적이고 오류가 발생하기 쉬움
- 메타데이터 및 추가 데이터 블록의 분석이 누락된 경우가 많아, 이를 통해 더 심층적인 정보를 얻는 것이 중요함
- 실제 환경에서의 활용 방안
- Sysmon을 사용하면 이벤트 ID 11을 통해 파일 생성 및 수정을 추적할 수 있음
- LNK 파일을 생성할 때, 파일 헤더의 매직 넘버 및 GUID를 분석하여 LNK 파일을 식별 가능
- EDR(Endpoint Detection and Response) 솔루션이 유사한 텔레메트리를 생성할 수 있다면, 이를 통해 LNK 파일을 감지하고, 사용자 실행 전에 조치를 취할 수 있음
- 보안 권고사항
- LNK 파일 기반의 행위 탐지는 어려우므로, 디스크에 기록될 때 해당 파일을 탐지하여 사용자가 파일을 실행하기 전에 조치를 취하는 것이 중요
- 만약 EDR 솔루션이 이러한 기능을 제공하지 않는다면, MDR(Managed Detection and Response) 제공업체와 협력하여 기능을 추가하도록 요청할 수 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
게임 속임수 스크립트 엔진을 통해 확산된 Lua 기반 악성코드 (5) | 2024.11.12 |
---|---|
Dark Angels 랜섬웨어: Windows 및 Linux/ESXi 시스템 공격 (0) | 2024.11.12 |
2024년 상반기 스미싱 피해 급증: 약 88만 건 접수 (0) | 2024.11.12 |
Google 검색 인터페이스 A/B 테스트 보안 우려 (0) | 2024.11.11 |
블랙베리 QNX 설문조사: 개발자 75%가 마감 압박으로 기능적 안정성 타협 (0) | 2024.11.11 |