Living off the Land (LotL) 공격

‘Living off the land’라는 말 자체는 전통적으로 사냥, 모임 또는 생계 농사를 통해 생존에 의존하는 것을 의미했습니다. 사이버 보안에 관해 이야기할때 그 의미는 훨씬 더 어둡습니다.

Living off the Land (LotL) 공격이란?

사이버 보안 세계에서 LotL 공격은 대상 컴퓨터에 이미 설치된 도구를 사용하거나 간단한 스크립트와 셸 코드를 메모리에서 직접 실행하는 공격을 말합니다. 공격자는 눈에 잘 띄지 않고 하드 디스크에 더 적은 수의 새 파일을 만들기 때문에 이 전략을 사용합니다. 기존 보안 도구로 탐지 될 가능성이 적으며, 궁극적으로 공격 차단 위험이 줄어 듭니다.

LotL 공격, 멀웨어가 아니면서 파일없는 또는 메모리 기반 공격은 기존 소프트웨어, 허용된 응용 프로그램 및 인증된 프로토콜을 사용하여 악의적인 활동을 수행하는 것과 같은 동일한 전술을 사용합니다. LotL 공격을 피하는데 사용되는 도구로는 운영 체제 기능, 합법적인 도구 및 클라우드 서비스가 있습니다.

LotL 공격자는 어떻게 공격하는가?

사용자는 Firefox를 사용하여 스팸 메시지가 있을 수 있는 웹 사이트를 방문할 수 있습니다.

이 페이지에서 플래시가 로드됩니다. 플래시는 끝없는 취약점으로 인해 일반적인 공격 경로입니다.

Flash는 모든 Windows 시스템에 존재하는 OS 도구인 PowerShell을 호출하고 명령행 (모두 메모리에서 작동)을 통해 명령을 제공합니다.

PowerShell은 stealth 명령 및 제어 서버에 연결하여 중요한 데이터를 찾아 공격자에게 보내는 악의적인 PowerShell 스크립트를 다운로드합니다.

2016년 가장 일반적인 맬웨어 전파 방법은 매크로와 PowerShell을 활용하여 페이로드 (일반적으로 랜섬웨어)를 설치한 악성 Office 파일을 사용하는 것입니다.

2016 년 민주당 해킹은 사회 공학과 스피어 피싱 이메일에 의한 LotL 공격의 예입니다.

LotL 공격, 지하 경제 및 랜섬웨어

LotL 공격은 지하 경제를 강화시킵니다. 공격자는 악의적인 Office 매크로를 사용하여 사용자가 Office 첨부 파일을 열때 매크로를 실행하도록 유도합니다. 이러한 전자 메일 손상 공격은 피해자가 지하 경제에서 판매할 수 있는 많은 돈이나 개인 정보를 포기하도록 속일 수 있습니다. 맬웨어는 일반적으로 이러한 공격의 구성 요소이며, 맬웨어는 지하 경제에서도 키트로 제품화 및 판매될 수 있습니다.

랜섬웨어는 매우 위험한 위협이며 LotL 공격에 이용될 수 있습니다. 2017년 6월 우크라이나 및 기타 여러 국가의 조직에 피해를 입힌 Ransom.Petya는 LotL 공격 전략을 사용하여 공격하는 예입니다. 랜섬웨어 위협은 널리 사용되는 회계 소프트웨어 프로그램의 업데이트 프로세스를 손상시켜 초기 감염 벡터로 사용했습니다.

LotL 공격과의 싸움

사용자의 경우 육상 공격을 막는 것은 표준 지침을 따르는 것을 의미합니다. 의심스러운 것처럼 보이는 전자 메일, 특히 링크나 첨부 파일이 포함된 전자 메일을 삭제하는 것입니다. 신뢰할 수 있는 출처의 이메일인지 확실하지 않으면 매크로 사용을 권유하는 첨부 파일을 피해야 합니다.

보안 전문가의 경우 이러한 유형의 공격에 대처하려면 시스템 관리자가 아니라 공격자가 기존 허용된 도구를 공격을 위해 어떻게 다르게 사용하는지와 같은 많은 상황 정보가 필요합니다. 그러한 정보를 기반으로 PowerShell 업그레이드, 로깅 활성화, 네트워크에서 이중 사용 도구 사용을 모니터링을 통해 모범 사례 기술들을 제시해야 합니다.