시스템 보안 - 실행 파일이 없는 우회 기법(파일리스 공격)

 

 

"파일리스"라는 용어는 컴퓨터의 메모리에만 있는 백도어와 같은 위협이 파일에 제공되지 않음을 시사합니다.

 

파일리스 기법은 공격이 탐지되지 않거나 추적이 힘들다. 기본적으로 악성코드가 디스크에 파일 형태로 존재하지 않아 스캔 대상이 되지가 않는다. 

 

2016년도부터 파워쉘이 활용이 된 파일리스 공격이 증가세를 보였다. 

 

 

 

예제 1) LNK 파일을 이용한 파워셸 원 라이너 실행
화면에 clickme라는 이름의 문서 파일처럼 보이는 파일은 사실 LNK 파일이다. 파일의 속성을 살펴보면 파워셸이 실행되도록 등록돼 있는 것을 볼 수 있는데, 에디터를 이용해 파일의 내용을 자세히 살펴보면, 파워셸 원 라이너라는 것을 알 수 있다.

[그림 7] clickme 문서로 보이는 LNK 파일

 

예제 2) 엑셀을 이용한 파워셸 원 라이너 실행
마이크로소프트 엑셀 파일은 매크로 기능으로 VBScript를 포함시킬 수 있어, 예전부터 악성 코드를 배포하기 위한 용도로 많이 사용돼 왔다. 다만 엑셀에 매크로가 포함돼 있을 경우, 노란색 보안 경고 창이 표시되며, 사용자가 ‘콘텐츠 사용’ 버튼을 눌러 매크로 실행을 허용하면 VBScript가 실행된다. 아래는 파워셸 원 라이너를 실행하도록 작성된 VBScript다.

[그림 8] 엑셀 파일에 포함된 VBScript

 

예제 3) 파워포인트를 이용한 파워셸 원 라이너 실행
마이크로소프트 파워포인트에도 파워셸 원 라이너를 등록할 수 있다. 마우스 포인터를 위에 올려 두거나 클릭하면, 지정된 프로그램을 실행시킬 수 있는 기능이 있다. 2017년에 유행했던 방법이다.  

[그림 9] 파워포인트를 이용한 파워셸 원 라이너 실행 

 

위와 같은 대표적인 예시 외에도 공격자가 파워셸 원 라이너를 실행하기 위해 사용할 수 있는 방법은 무수히 많다. 

 

 

 

출처: 

https://learn.microsoft.com/ko-kr/microsoft-365/security/intelligence/fileless-threats?view=o365-worldwide 

파일리스 위협

 

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29564 

해커의 강력한 무기 파일리스 공격 이해하기