LNK 파일 분석의 중요성과 활용 방안: ‘Using Every Part of the Buffalo’

UEPOTB, LNK edition

UEPOTB, LNK edition

 

• "Using Every Part of the Buffalo" 개념
  • Jesse Kornblum의 논문에서 소개된 개념으로, 분석 가능한 데이터의 모든 요소를 최대한 활용하는 것을 강조
  • 특히 LNK 파일과 같은 데이터에서는 메타데이터, 파일 구조, 시간 정보 등의 모든 정보를 분석에 활용할 필요가 있음
• LNK 파일의 분석 부족 사례
  • 일부 보고서와 블로그는 LNK 파일의 기본 속성(Property)만 공개
  • 예: Cyble의 최근 블로그에서는 파일 속성창을 기반으로 LNK 파일 분석을 제한적으로 진행
  • 충분한 분석 없이 IoC(Indicators of Compromise)만 공유하는 경우, 잠재적 정보와 통찰력이 손실
• LNK 파일의 주요 메타데이터 분석
  1. TrackerDataBlock
     • 예: 워크스테이션 이름 christmas-destr, OUI(Node ID) 정보(VMware, Inc.)
     • 레트로 헌트 및 추적에 활용 가능
  2. PropertyStoreDataBlock
     • LNK 파일 생성 도구나 방법론을 파악
     • 예: 일부 LNK 파일에서 사용자 SID 정보 발견 (e.g., S-1-5-21-3861309104-3271506253-2070734288-1001)
  3. LNK Header 및 Shell Item ID
     • 볼륨 일련 번호(Volume Serial Number), 타임스탬프, MFT(마스터 파일 테이블) 참조 번호 포함
     • 시간 정보는 공격자 활동 시간대와 공격 캠페인의 맥락을 이해하는 데 도움
     • 예: 280C-1822 같은 볼륨 일련 번호를 활용해 관련 캠페인 간 연관성 확인
• 분석의 심화 단계
  • 명령줄(Command Line) 분석
    • 공격자가 의도한 실행 경로 및 추가 작업 파악
    • 유사 LNK 파일 비교를 통해 일관성과 변화를 확인
  • 레트로 헌트 활용
    • VirusTotal 등의 플랫폼에서 LNK 메타데이터와 해시를 활용해 과거 캠페인 및 관련 데이터를 추적
  • 도구 및 방식 식별
    • LNK 파일 생성 도구에 따른 특이점 및 공격자 프로파일링
• 활용 사례
  • Mandiant의 APT29(“Cozy Bear”) 캠페인 분석
    • LNK 파일 간의 유사성과 차이점을 비교하여 이전 캠페인과의 연관성 파악
  • Blackberry의 "Transparent Tribe" 분석
    • 동일한 볼륨 시리얼 번호와 머신 ID(desktop-e7n7e7f)를 통해 캠페인 간 상관관계 확인
    • 이러한 정보를 VirusTotal 및 기타 레트로 헌팅 도구와 연계
• LNK 파일 분석의 중요성
  • 운영 프로세스 파악
    • LNK 파일 메타데이터는 공격자의 개발 환경 및 프로세스에 대한 단서를 제공
    • 예: 타임스탬프와 MFT 참조를 통해 공격자의 파일 시스템 구조 및 운영 시간대 확인 가능
  • 위협 인텔리전스 확장
    • 단순한 IoC에서 벗어나, 위협 그룹의 행위와 상황 인식을 파악하는 데 기여
  • 침해 사고 대응 강화
    • LNK 파일 분석을 통해 추가적인 침해 지표와 연계 포인트를 식별, 방어 체계 개선