Fileless 기법이란?
일반적인 악성코드와 다르게 실행파일(PE)없이, 운영체제에서 제공하는 스크립트 엔진을 사용해 악성행위를 수행하는 것
즉, 악의적인 기능을 수행하는 코드를 파일 형태로 디스크에 저장시키지 않고 메모리에서만 실행시키면서 시스템에 피해를 입히는 유형의 공격
ex) Powershell Oneliner
AVT(Advanced Volatile Threat)
뜻 그대로 풀이하면 '지능형 휘발성 위협'으로, 공격을 수행하고 흔적을 지우는 휘발성 메모리 공격.
이 공격을 수행할 때 Fileliess 기법이 활용되는데, 시스템에 흔적을 남기지 않도록 메모리에서만 동작하는 인 메모리 멀웨어(In-memory-malware)와 LoL(Living-off-the-land)도구를 사용한다.
사용이유
파일과 흔적을 남기지 않기때문에 탐지, 추적 모두를 피하는데 유용하다.
문제점
하지만 Fileless 기법도 단점이 존재하는데, 바로 메모리에만 존재하기 때문에 대상 시스템이 재부팅되는 경우 사라지게 된다는 것이다. 이러한 단점을 극복하기 지속성(persistence)을 유지할 수 있는 여러 방법을 고안하게 된다.
지속성 유지
지속성을 유지하기 위해 공격자는 레지스트리, 서비스 스케줄러, WMI 등 OS에서 제공하는 기능을 사용한다.
대응방안
파일이 없기때문에 행위를 기반으로 악성을 탐지 및 차단해야한다. 이러한 개념이 반영된 솔루션이 EDR이다. 하지만 EDR이 없다면 로깅을 강화해 최대한의 흔적을 확보하여 추후에 대응하여야 한다.
참고
https://rninche01.tistory.com/entry/%ED%8C%8C%EC%9D%BC%EB%A6%AC%EC%8A%A4Fileless%EA%B8%B0%EB%B2%95-%EC%84%A4%EB%AA%85-1
https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29564
