취약점 분석 - Living Off the Land (LOTL)

 

Living Off the Land (LOTL)

 

Living-off-the-land(리빙 오프 더 랜드) 기법은, 해커와 같은 공격자들이, 시스템에 이미 설치되어 있는 Tool을 사용해서 해킹 공격을 하는 기법을 의미 합니다. 즉 피해자 시스템에 기본으로 설치되어 있는 프로그램을 활용하여 해킹을 수행하기 때문에, AV(안티바이러스) Software 의 탐지를 피할 수 있다고 합니다. 

 

 

LoL Tool

 

Living-off-the-land(LoL) 기법에서 사용하는 Tool을 LoL Tool 이라고 합니다.

공격자의 최종 Payload(악성코드)를 침투시키기 위한 침투 도구로 LoL(Living-off-the-land) Tool을 사용한다고 합니다.  즉 LoL Tool은 피해자의 시스템에 설치되어 악성행위를 수행하는 최종 Payload가 아니라, 최종 Payload를 다운로드 받아 설치하기 위한 침투 도구로 사용되어 집니다. 

 

 

Windows에 있는 LoL Tool

개념 파악을 위해, 자주 언급되고 있는 4가지 Tool만 간략히 소개하고자 합니다.

1. regsvr32.exe

regsvr32의 기능은 DLL을 Windows Registry에 등록하여, 다른 Software가 필요 시 사용하도록 허용하는 것입니다. 

Parameter로 /i 를 사용하면, DLL install 시 scriptlet 형식(XML 양식 안에 JScript 나 VBScript code가 들어 있는 것)의 dynamic code를 insert할 수 있는 기능을 가지고 있습니다. 즉 regsvr32 를 사용하면 JScript 나 VBScript를 DLL 안에 inject 시켜 실행시킬 수 있습니다.

Parameter /i 사용시 URL 주소를 기술하면, Remote Site 에 있는 scriptlet 파일을 실행 시킬 수 있으므로, 파일리스 공격을 구현할 수 있습니다. 

Script을 그냥 실행시키면 AppLocker 같은 software에 의해 탐지되어 실행이 방지 될 수 있지만, DLL 안에 inject 시켜 실행시키면, 탐지를 못한다는 것입니다. 참고로, Windows 10의 update된 Windows Defender ATP 에서는 탐지 한다고 합니다.

 

https://www.youtube.com/watch?v=t8SpYn5GkHA

regsvr32.exe를 이용한 랜섬웨어 감염 사례

 

2. mshta.exe

mshta는 HTA(HTML Application)을 실행시키는 software 입니다. HTA의 file extension은 “.hta” 입니다. IE(Internet Explorer)에서 더 이상 HTA를 지원하지 않기에, 이전에 개발된 HTA를 지원하기 위해, mshta.exe를 제공하고 있다고 합니다.

HTA는 HTML 양식으로 된 Application이기 때문에 내부에 script가 포함되어 있습니다. 따라서 공격자는 “악성 script”가 포함된 HTA 파일을, 피싱 이메일에 첨부하여, 희생자에게 전달하여, 첨부 파일을 실행시키도록 유도하면 됩니다. “악성 script”의 예를 들면, 외부에서 실행 파일을 다운로드 받고 실행시키는 기능을 수행하도록 작성된 PowerShell script를 실행시키는 JavaScript 입니다. JavaScript Obfuscator(난독화)를 사용하여, script 내용을 바로 파악하지 못하도록 하기도 합니다.


3. rundll32.exe

rundll32.exe는 DLL(Dynamic Link Library)를 실행(DLL 속에 있는 함수들을 memory상에 load 시키는 것)시키는 용도로 사용됩니다. DLL은 독립 Application이 아니기 때문에 독자적으로 바로 실행될 수 없습니다.

rundll32.exe는 Command Line 에서 Input Parameter로 JavaScript를 바로 실행할 수 있는 기능을 제공하고 있습니다.

4. certutil.exe

certutil의 주 기능은, CA(Certification Authority) 정보를 configure, dump, display 하는 것이지만, remote file을 다운로드 받을 수 있도록 해 주는 기능도 제공하고 있습니다. 

따라서 certutil을 사용하면, 외부로부터 PowerShell script 파일을 다운로드 받을 수 있는 데, 탐지 software는 certutil을 합법적인 tool로 간주하므로, 악성 행위가 탐지되지 않는다고 합니다.

 

5. Powershell, JScript, VBScript...

 

 

 

 

 

 

요약) 공격자는 기존의 AV솔루션을 회피하고 최대한 흔적을 남기지 않도록 Fileless기법을 사용한다. 기존의 보안 솔루션으로는 이러한 유형의 공격을 탐지하기 어렵기 때문에 이를 대응하고자 행위에 집중하는 EDR제품이 등장

 

 

LOTL 사례 : 라자루스 사법부 해킹 공격

 

 

 

 

https://www.asiatoday.co.kr/view.php?key=20240424010013055

피해 규모조차 모른채… 北해킹에 방산업체 10여곳 뚫렸다

 

https://blog.naver.com/aepkoreanet/221980190942

Living-off-the-land(LoL) 도구(Tool)

 

https://frsecure.com/blog/living-off-the-land-attacks/

Living Off the Land Attacks | FRSecure

 

https://rninche01.tistory.com/entry/%ED%8C%8C%EC%9D%BC%EB%A6%AC%EC%8A%A4Fileless%EA%B8%B0%EB%B2%95-%EC%84%A4%EB%AA%85-1

파일리스(Fileless)기법 설명