시치미 뚝 떼는 공격자들의 공격 기법 점점 보편화 되는 중
요약 : 최근 해커들이 Regsvr32라는 바이너리를 적극 사용하기 시작했다는 경고가 나왔다. Regsvr32는 이른바 ‘리빙 오프더 랜드(living off the land)’ 전략을 구사하게 해 주는 바이너리로, 그 자체로 멀웨어는 아니고 오히려 정상적인 유틸리티로 분류된다. 공격자들은 이 정상 유틸리티를 자신들의 목적에 맞게 사용함으로써 큐봇(Qbot)과 로키봇(Lokibot)이라는 멀웨어를 퍼트리는 중이라고 한다.
[이미지 = utoimage]
배경 : 리빙 오프더 랜드 전략은 피해자에 이미 설치되어 있는 정상 유틸리티와 기능들을 악용하는 기법이다. 멀웨어가 따로 사용되지 않으므로 악성 행위 탐지 장비에 걸리지 않으며 로그 분석으로도 잘 눈에 띄지 않는다. Regsvr32는 명령 유틸리티로, 사용자가 라이브러리를 레지스트리에 등록하거나 등록 취소시킬 수 있도록 해 준다.
말말말 : “공격자들은 Regsvr32를 활용해 COM 스크립트를 로딩함으로써 자신들이 원하는 DLL을 실행시킵니다. 이 방법을 통해 애플리케이션 화이트리스팅 등과 같은 보안 장치들을 피해갈 수 있게 됩니다.” -업틱스(Uptycs)-
[국제부 문가용 기자(globoan@boannews.com)]
요약 : 최근 해커들이 Regsvr32라는 바이너리를 적극 사용하기 시작했다는 경고가 나왔다. Regsvr32는 이른바 ‘리빙 오프더 랜드(living off the land)’ 전략을 구사하게 해 주는 바이너리로, 그 자체로 멀웨어는 아니고 오히려 정상적인 유틸리티로 분류된다. 공격자들은 이 정상 유틸리티를 자신들의 목적에 맞게 사용함으로써 큐봇(Qbot)과 로키봇(Lokibot)이라는 멀웨어를 퍼트리는 중이라고 한다.
[이미지 = utoimage]
배경 : 리빙 오프더 랜드 전략은 피해자에 이미 설치되어 있는 정상 유틸리티와 기능들을 악용하는 기법이다. 멀웨어가 따로 사용되지 않으므로 악성 행위 탐지 장비에 걸리지 않으며 로그 분석으로도 잘 눈에 띄지 않는다. Regsvr32는 명령 유틸리티로, 사용자가 라이브러리를 레지스트리에 등록하거나 등록 취소시킬 수 있도록 해 준다.
말말말 : “공격자들은 Regsvr32를 활용해 COM 스크립트를 로딩함으로써 자신들이 원하는 DLL을 실행시킵니다. 이 방법을 통해 애플리케이션 화이트리스팅 등과 같은 보안 장치들을 피해갈 수 있게 됩니다.” -업틱스(Uptycs)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
