LotL(Living off the Land) 공격은 운영 체제 내에서 합법적인 도구와 프로세스를 활용하여 악의적인 활동을 실행하는 것을 의미합니다. 이러한 공격은 보안 조치를 우회하기 위해 종종 화이트리스트에 등록된 합법적인 애플리케이션을 악용하며 공격자가 겉보기에 정상적인 시스템 작동 내에서 자신의 작업을 숨기기 위해 종종 사용합니다.
Living off the Land Attack의 기원과 그에 대한 첫 언급의 역사
Living off the Land 공격의 개념은 보안 전문가들이 지속성을 전파하고 유지하기 위해 합법적인 시스템 도구를 사용하여 악성 코드가 증가하는 것을 발견한 2000년대 초반으로 거슬러 올라갑니다. "Living off the Land"라는 용어는 황무지에서의 생존주의적 접근 방식과 마찬가지로 대상 시스템에서 쉽게 사용할 수 있는 것을 활용하여 생존하려는 공격자의 접근 방식을 설명하기 위해 만들어졌습니다.
토지 공격 생활에 대한 자세한 정보
Living off the Land 공격은 안전할 것으로 예상되는 도구와 기능을 사용하므로 은밀하고 복잡합니다. 이러한 도구에는 PowerShell과 같은 스크립팅 엔진, 관리 도구 및 기타 시스템 바이너리가 포함됩니다.
자주 악용되는 도구의 예
- 파워셸
- WMI(Windows 관리 계측)
- 예약 된 일들
- 마이크로소프트 오피스 매크로
육상 공격으로 생활하는 내부 구조
토지 공격에서 생활하는 방법
- 침투: 공격자는 주로 피싱이나 취약점 악용을 통해 초기 액세스 권한을 얻습니다.
- 이용: 시스템의 기존 도구를 사용하여 악의적인 명령을 실행합니다.
- 번식: 합법적인 도구를 활용하여 네트워크를 통해 측면으로 이동합니다.
- 유출: 민감한 데이터가 수집되어 공격자에게 다시 전송됩니다.
지상 공격에 대비한 생활의 주요 특징 분석
- 은밀한 성격: 이러한 공격은 합법적인 도구를 사용하여 탐지를 회피할 수 있습니다.
- 높은 복잡성: 종종 정교하고 다단계로 구성됩니다.
- 완화하기 어려움: 기존 보안 솔루션은 이를 탐지하는 데 어려움을 겪을 수 있습니다.
토지 공격에서 생활하는 유형
| 유형 | 설명 |
|---|---|
| 스크립트 기반 공격 | PowerShell 또는 기타 스크립팅 언어를 사용하여 악성 코드를 실행합니다. |
| 매크로 공격 | 페이로드를 실행하기 위해 문서에 악성 매크로를 삽입합니다. |
| 바이너리 프록싱 | 합법적인 바이너리를 사용하여 악성 코드 실행을 프록시합니다. |
토지 공격, 문제 및 해결책을 활용하는 방법
- 사용 방법: 표적공격, APT, 정보수집.
- 문제: 탐지가 어렵고 해결이 복잡합니다.
- 솔루션: 행동 분석, 엔드포인트 탐지 및 대응(EDR) 시스템, 사용자 교육.
주요 특징 및 기타 유사 용어와의 비교
| 특성 | 땅에서 벗어나 생활하기 | 기존 악성코드 |
|---|---|---|
| 감지 난이도 | 높은 | 중간 |
| 복잡성 | 높은 | 다양함 |
| 도구 활용 | 합법적인 도구 | 맞춤형 악성코드 |
지상 공격으로부터의 생존과 관련된 미래의 관점과 기술
보안 기술이 지속적으로 발전함에 따라 공격자도 전술을 발전시킵니다. 향후 방향에는 인공 지능, 기계 학습의 보다 광범위한 사용, IoT(사물 인터넷) 장치와의 공격 통합이 포함될 수 있습니다.
프록시 서버를 사용하거나 토지 공격에 대처하는 방법과 연결하는 방법
프록시 서버는 Living off the Land 공격에서 방어 수단이자 위험 요소가 될 수 있습니다. 조직에서는 트래픽을 모니터링하고 필터링하여 잠재적으로 악의적인 활동을 탐지하는 데 사용할 수 있습니다. 반대로, 공격자는 프록시 서버를 사용하여 원본을 숨기고 공격을 복잡하게 만들 수도 있습니다.
