파일리스 공격 : 악의적 코드를 메모리에서만 실행시켜 시스템에 악영향을 끼침, 저장 매체에 파일 형태의 악성코드가 존재하지 않음, 파워셸 등장이후 급증
네트워크 공격 -> 네트워크 보안 장비 -> 이메일 등을 통한 악성 파일 유입 -> AV(Anti-virus)
->파일리스 공격 -> 포렌식(Forensic) -> 안티 포렌식(Anti-forensic), 흔적 삭제 -> EDR, 파일이 아닌 행위에 집중
##파일리스 공격의 증가에 따라 APT 를 AVT(Advanced Volatile Threat) 지능성 휘발성 위협이라 부르기도 함
##in-memory malware, LOL(Living Off The Land) 도구를 사용해 흔적을 최대한 남기지 않음
파일을 모니터링하는 AV에 탐지되지 않고, 추적 시 파일이 없으면 해시를 구할 수 없음, 식별 및 판단의 정보가 부족
PowerShell One-liner : 텍스트 한줄로 구성된 파워셸 문자열 스크립트
| 번호 | 설명 |
| ➀ | 윈도우에 기본으로 포함된 LOL 도구인 powershell 실행 |
| ➁ | 백그라운드 프로세스 실행 |
| ➂ | 스크립트 문자열 전달 |
| ➃ | IEX(Invoke-Expression) 파일 저장하지 않고 메모리에서 바로 실행 가능, 전달된 문자열을 코드로 실행 |
| ➄ | .NET 라이브러리 사용가능, 스크립트 다운로드 |
-enc 옵션을 주어 Base64 인코딩된 스크립트 실행 가능, 추적 방지 및 분석 방해
PowerShell One-liner 명령을 LNK, 엑셀 VBScript, 파워포인트 등 다양하게 사용 가능
파일리스의 지속(persistence)을 위해 악성코드를 레지스트리, 서비스, 스케쥴러, WMI 등에 남겨둠, 백도어 확보
대응 방안
- EDR(Endpoint Detection and Response) 도입
- 로깅 강화
Powershell 스크립트 블록 로깅 켜기 활성화 -> 스크립트 등이 실행될 때 해당 블록의 코드 기록
Sysmon : MS 제공, 27종의 이벤트 로깅 가능, XML 의 설정파일을 통해 필요한 이벤트 로깅되도록 구성 필요
#참고 : www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29564
댓글