[Reversing] Fileless 관련 정리

[Malware] Fileless 관련 정리

과거 Fileless 코인마이너 악성코드를 살펴본 적이 있다. 참조 링크에 있는 Fileless 공격에 대해 관련 동영상을 참조해 정리를 할 것이다.

참조

> https://jeongzzang.com/137

> https://www.youtube.com/watch?v=Y_e1oZUWaZI&feature=youtu.be

> https://ukdiss.com/examples/fileless-malware-attack-techniques.php

Fileless 공격이란?

악성 행위를 하는 코드를 메모리에서 실행하면서 공격하는 것으로 파일이 아닌 형태로 보관한다.

즉, Fileless 말 그대로 파일로 존재하지 않고 메모리나 레지스트리에서 동작하는 악성코드이다.

Fileless 공격 또는 방어 기술의 발전

여러 기법 중에서 악성코드를 사용하지 않고 네트워크를 통한 공격이 있는데 해당 네트워크 공격은 보안장비로 인해 접근이 쉽지 않다. 그렇기 때문에 Email이나 인터넷을 통해 공격을 시도하는데 그런 공격을 방어하기 위해 Anti-Virus 솔루션을 사용하는데 파일의 대상으로 동작하고 있다.

공격자는 우회를 통해 공격하기 위해 Fileless 악성코드를 사용한다.

또한, 최근 PowerShell을 이용한 Fileless 공격 증가하고 있다고 한다.

AVT(Advanced Volatile Threat)

진보된 휘발성 위협으로 해당 AVT 공격을 이용하기 위해서 Fileless 기법 공격이 사용된다.

AVT라고 부르는 Fileless 기법은 파일을 쓰지 않고도 시스템이나 취약점을 악용하여 공격하는 것이다.

즉, 피해 시스템 안에 있는 도구를 이용해서 사용하는 것 이다.

Fileless 데이터 저장

메모리에 존재하는 방식은 재부팅시 악성코드는 사라진다.

디스크에 저장하는 방식은 reg, sevice, WMI 등을 이용한다.

Fileless 사용이유

탐지 및 추적을 회비하기 위해서 사용한다.

파일이 없으면 스캔할 대상이 없어 Anti-Virus 솔루션을 우회할 수 있고, 정상으로 보일 수도 있어 우회가 가능하다.

또한, 파일이 없기 때문에 파일해시도 없다 그렇기 때문에 TI 같은 곳에서 확인이 불가능하다.

이후 관련 사례는 참조 동영상을 보면 될 것 같다.