해커에게 인기 있는 LotL 공격 툴
LotL 공격 개요
LotL Attack Overview
An attack technique that bypasses various defense systems using normal tools rather than the inherent tools that leave a unique trace.
특유의 흔적이 남는 고유의 툴보다, 정상 툴을 이용하여 다양한 방어 시스템을 우회하는 공격 기법.
메타스플로잇(Metasploit) / 코발트 스트라이크(Cobalt strike)
It is a popular penetration testing platform used by the security teams of each company.
각 기업의 보안 팀에서 사용되는, 유명한 모의해킹 목적의 플랫폼이다.
It is used disguising a penetration testing but is exploited by real attacks.
모의해킹을 가장하여 실제 공격에 악용된다.
파워쉘(PowerShell)
Command interpreter such as CMD or shell.
CMD나 쉘과 같은 명령어 인터프리터.
It has the advantage of being able to run on Windows as well as Linux (installation required).
윈도우 뿐만 아니라, 리눅스에서도 실행될 수 있다는(설치 필요) 장점이 있다.
There is a PowerSploit, which is a collection of tools developed solely with PowerShell.
파워쉘로만 개발된 툴을 모아놓은 파워스플로잇(PowerSploit)이 존재할 정도이다.
윈도우 시스인터널(Windows Sysinternal)
It is a toolkit for Windows based utilities.
윈도우 기본 유틸리티들을 모아놓은 툴킷.
Remote commands as well as network status and process control can be performed.
네트워크 현황이나 프로세스 제어뿐만 아니라 원격 명령도 수행 가능하다.
VNC(Virtual Network Computing)
RFB protocol based remote access tool.
RFB 프로토콜 기반의 원격 접속 툴.
There is Hidden Virtual Network Computing (HVNC), which is equipped with additional functions such as executing commands with the privileges of the system user while remote accessing, but it is classified as RAT malicious code.
원격 접속 간 시스템 사용자의 권한으로 명령어를 실행 시키는 등의 추가 기능이 탑재된, HVNC(Hidden Virtual Network Computing)라는 것도 있는데, 이는 RAT 악성코드로 분류되기도 한다.
팀뷰어(TeamViewer)
Famous remote access tool.
유명한 원격 접속 툴.
Like any remote access tool, it is used for purpose of dominating system.
어느 원격 접속 툴과 마찬가지로 시스템 장악 목적으로 사용된다.
In general, the TeamViewer account is stolen via brute force.
일반적으로 브루트 포스를 통해 팀뷰어 계정이 탈취된다.
System ports such as 80 or 443 can also be used, and damage cases such as being abused as a backdoor frequently occur.
80이나 443 같은 시스템 포트도 사용할 수 있으며, 백도어로 악용되는 등의 피해사례가 자주 발생한다.
LOLBAS(Living Off the Land Binaries and Scripts)
A project initiated by security experts to identify the normal tools that can be exploited for LotL attacks.
보안 전문가들에 의해 시작된, LotL 공격에 악용될 수 있는 정상 툴을 식별하는 프로젝트.
It includes tools that include functions such as code execution, compilation, download/upload, log collection and security system bypass.
코드 실행, 컴파일, 다운로드/업로드, 로그 등의 정보 수집, 보안 시스템 우회 등의 기능이 포함된 툴을 대상으로 한다.
It is also a certified tool from Microsoft or a downloadable tool.
또한 MS로부터 인증된 툴이거나 다운로드 받을 수 있는 툴이라는 특징이 있다.