"LOLBins"는 "Living Off the Land Binaries"의 약어입니다. 이 용어는 사이버 보안에서 사용되며, 공격자들이 시스템에 이미 존재하는 유틸리티나 명령행 도구를 활용하여 공격을 수행하는 기술을 가리킵니다. 이러한 도구는 일반적으로 시스템 관리자들이나 개발자들이 편리하게 사용할 수 있도록 설계되었지만, 공격자들은 이러한 도구를 악용하여 시스템을 침투하거나 관리 권한을 획득하려고 합니다.
LOLBins는 주로 윈도우 운영 체제에서 발견되며, 예를 들어 cmd.exe, PowerShell, regsvr32.exe와 같은 도구들이 여기에 포함됩니다. 이러한 도구들은 시스템 관리, 설정 변경, 프로그램 실행 등 다양한 작업을 수행하는 데 사용될 수 있습니다. 하지만 공격자들은 이러한 도구들을 사용하여 시스템을 침투하고 명령을 실행하여 악의적인 목적을 달성하려고 합니다.
따라서 LOLBins에 대한 인지 및 이해는 보안 전문가들에게 매우 중요합니다. 시스템을 보호하고 침입을 감지하려면 LOLBins를 통한 공격을 탐지하고 방어하는 방법을 알고 있어야 합니다.
"Alternate Data Streams(ADS)"는 Windows 파일 시스템 NTFS에서 사용되는 개념입니다. 이것은 주 파일 외에도 파일에 추가 데이터를 저장할 수 있는 메커니즘을 제공합니다. 이러한 추가 데이터는 주 파일에는 보이지 않으며, 주로 시스템에서 감지되기 어렵습니다. 공격자는 ADS를 사용하여 악성 코드나 스크립트를 파일에 숨기고 실행할 수 있습니다.
따라서 "LOLBins ADS"는 주로 LOLBins 기술을 활용하여 시스템을 침투하고 공격하는 데 사용되는 ADS의 활용을 의미합니다. 이는 보안 전문가들이 공격을 탐지하고 방어하는 데 추가적인 주의를 기울여야 함을 나타냅니다.
LOLBins ADS를 활용하는 공격은 주로 다음과 같은 단계로 이루어집니다:
- ADS 생성: 공격자는 NTFS 파일 시스템에서 추가 데이터를 저장할 수 있는 Alternate Data Streams(ADS)를 생성합니다. 이를 통해 원래 파일과는 별개로 추가 데이터를 숨길 수 있습니다.
- 악성 스크립트 또는 실행 파일 추가: 생성된 ADS에 공격에 필요한 악성 스크립트나 실행 파일을 추가합니다. 이 스크립트나 실행 파일은 시스템에 액세스 권한을 얻거나 악성 활동을 수행하는 데 사용될 수 있습니다.
- LOLBins 실행: 공격자는 시스템에 이미 존재하는 유틸리티나 명령행 도구(LOLBins)를 사용하여 악성 ADS에 저장된 스크립트나 실행 파일을 실행합니다. 이 도구들은 보통 시스템 관리나 유용한 작업을 수행하는 데 사용되므로 보안 솔루션에서는 이러한 활동을 감지하기가 어렵습니다.
- 악성 활동 수행: 실행된 악성 스크립트나 실행 파일은 공격자가 원하는 악의적인 활동을 수행합니다. 예를 들어, 시스템 권한 상승, 백도어 설치, 민감한 데이터 유출 등이 있을 수 있습니다.
이러한 공격은 기존 보안 솔루션에서 탐지하기 어려울 수 있으며, 주요한 방어 전략은 다음과 같습니다:
- 모니터링: 시스템에서 실행되는 프로세스 및 네트워크 활동을 모니터링하여 이상 징후를 감지합니다.
- 정책 및 권한 관리: 최소한의 권한으로 사용자 및 프로세스의 권한을 관리하고 실행되는 스크립트 및 실행 파일에 대한 엄격한 정책을 시행합니다.
- 보안 솔루션: 최신의 안티바이러스, 방화벽, 침입 탐지 시스템 등과 같은 보안 솔루션을 사용하여 악성 활동을 탐지하고 차단합니다.
- 파일 시스템 검사: 정기적으로 파일 시스템을 검사하여 숨겨진 Alternate Data Streams를 탐지하고 악성 파일을 제거합니다.
LOLBins ADS를 통한 공격은 보안 전문가들이 계속해서 새로운 공격 기술에 대해 업데이트하고, 이를 탐지하고 방어하기 위한 적절한 대응책을 마련하는 것이 중요합니다.
<출처, https://chat.openai.com/ , 2024/03/04 결과>