파일리스(fileless) 형태의 악성코드에 대해 알아보도록 하겠습니다.

Ⅰ. 파일리스(Fileless) 공격이란?

파일리스 형태의 악성코드는 전통적인 파일 기반의 악성 코드와는 다르게 피해자 컴퓨터 시스템에 파일로 저장되지 않고, 메모리나 레지스트리와 같은 시스템 자원을 이용하여 실행되는 악성 코드를 말합니다.

 

Ⅱ. 파일리스(Fileless) 공격을 사용하는 이유

파일리스 형태의  악성 코드는 시스템 내부에서 실행되므로 파일 시스템을 우회하고 탐지하기가 더 어려울 수 있습니다.

 

Ⅲ. 파일리스 형태의 악성코드의 특징

1) 메모리 기반: 파일리스 악성코드는 주로 시스템 메모리에 주입되어 실행됩니다. 이로써 악성 코드가 디스크에 파일로 저장되지 않기 때문에 탐지가 어려울 수 있습니다.
2) 스크립트 언어 사용: 파워쉘, VBScript, JavaScript, Python 등과 같은 스크립트 언어를 이용하여 시스템 내에서 악성 작업을 수행하는 경우가 많고, 파워셸( Power Shell)과 WMI(Windows Management Instrumnetation)에 로드되어서 실행되기 때문에 백신이 탐지하지 않는다.

3) 정상적인 프로세스 변조: 파일리스 악성코드는 시스템 내부의 정상적인 프로세스나 서비스를 변조하거나 악용하여 공격을 수행합니다. 이로써 탐지하기가 더 어려워집니다.
4) 플래시 메모리와 레지스트리 악용: 파일 대신 플래시 메모리나 레지스트리 등의 시스템 자원을 악용하는 경우가 있습니다. 이러한 자원은 시스템 부팅 시에도 실행될 수 있으므로 지속적인 공격을 수행할 수 있습니다. 악성코드는 디스크에 설치되지 않고 메모리에 로드되어 실행됩니다.

Ⅳ. 파일리스 형태의 악성코드 대응 방안

 파일리스 공격에 대응하기 위해서는 의심 행위들을 악성 정보에 기반하여 실시간 탐지 및 차단해야 합니다.

 이와 같은 개념이 반영된 솔루션으로 EDR제품이 존재하지만, EDR제품이 없는 경우라면 간단한 설정 및 프로그램으로 로깅을 강화해 흔적을 최대한 확보하여 추후 대응할 수 있도록 활용할 수 있습니다.

 

1) 로깅 - 파워쉘 스크립트 블록 로깅

gpedit.msc(로컬 그룹정책 편집기)를 통해 다음과 같이 설정하면 파워쉘 원 라이너가 실행하게 되면 화면에 파워쉘 원 라이너의 스크립트를 이벤트 로그에서 확보할 수 있습니다.

 gpedit.msc -> 컴퓨터 구성 -> 관리 템플릿 -> 윈도우 구성요소 -> 윈도우 파워쉘 -> 파워쉘 -> 스크립트 블록 로깅 켜기

 

2) 로깅 - Sysmon

Micro Soft 에서 제공하는 Sysmon을 통해 Process, Remote Thread, File, Registry, Pipe, WMI, Network 등의 이벤트를 로깅할 수 있습니다. 기본 값으로 실행하는 경우에는 이 이벤트들이 모두 기록되지 않으므로 XML형식의 설정 파일을 이용하여 필요한 이벤트가 로깅되도록 필터를 구성합니다.