보안/보안 개념

LOL 바이너리

no-brake 2026. 5. 26. 16:17

[개념]

  • 이미 시스템에 설치되어 있어 별도 수정하는 과정 없이 공격에 바로 사용 가능한 기능을 가진 정상적인 실행 파일
  • 해당 파일은 정상적이며 코드 서명이 되어 있는 신뢰할 수 있는 바이너리이다.
  • Proxy/indirect execution, 파일 다운로드/업로드, UAC 우회등 악용 됨
  • 공격자는 탐지, 차단 메커니즘 우회하는데  유리함

[bitsamin.exe]

  • 백그라운드에서 안정적으로 파일 전송하는 기능
  • 업데이트 및 시스템 내부 작업에서 사용 됨
  • 일반적으로 외부에서 악성코드가 내부로 다운로드시 보안 솔루션은 브라우저나 알려진 악성 다운로드 도구를 우선적으로 의심
  • 공격자는 백그라운드 전송 서비스 기능이 있는 해당 LOL 바이너리를 사용
  • 별도의 악성 다운로드 도구 나 웹 브라우저 사용 없이 정상 시스템 도구만으로 진행 됨
  • 브라우저 기반 보안 정책이나 일부 네트워크 탐지 우회로 행위 기반 탐지 적발이 되지 않을 가능성이 높음
  • 다운로드 뿐만 아니라 복사, 실행을 위한 사전 단계에서도 자주 악용 됨

[DLL side loading를 이용한 로드 순서 악용]

  • 정상 실행 파일을 그대로 사용하면서, 실행 파일을 참조하는 DLL 이름과 같은 악성 DLL을 특정 경로에 배치
  • 정상 파일 실행 시 의도치 않은 악성 DLL 함께 로드 함.
  • 겉으로는 정상적으로 실행된것 처럼 보이나 악성 코드가 함께 실행되는 구조
  • 공격자는 새로운 실행 파일 생성 없이 기존 신뢰 받은 실행 파일을 그대로 사용하기 때문에 탐지와 분석이 어려움

[certutil.exe]

  • 원도우 인증서 조회하고 관리, 원격 서버에서 파일 다운로드, Base64 형태의 데이터 디코딩
  • 공격자는 외부 서버에 저장된 파일을 문자열 또는 인코딩된 데이터 형태로 다운로드 후, 해당 도구를 사용하여 디코딩 함
  • 네트워크 상에서는 실행 파일 형태로 전달되지 않고 단순한 텍스트나 인코딩된 파일 처럼 보임
  • 별도의 악성 도구 없이 인증된 해당 도구만으로 다운로드, 변환, 실행까지 이루워짐
  • 분석 관점에서는 단순히 해당 도구 실행 여부 중점이 아닌 '어떤 인자'를 가지고 실행 되었은지가 중점이 되어야 함
  • 일반적인 인증서 관리 목적이라면 외부 서버와 통신하거나 실행 파일 생성할 이유가 없음

[mshta.exe]

  • HTA : HTML과 스크립트로 구성된 애플리케이션으로 브라우저 보안 정책 영향 없이 로컬 시스템 권한으로 실행 가능
  • HTA 파일을 명령어를 통해 직접 실행 하도록 제공하는 도구
  • 외부 서버에 호스팅된 악성 스크립트 실행
    • C2 서버에 HTA 파일이나 스크립트를 업로드 후, 스크립트를 직접 실행
    • 로컬 디스크에 실행 파일이 저장되지 않고 스크립트 형태로만 동작하기 때문에 파일 기반 탐지 우회 쉬움
  • 레지스트리에 은닉된 스크립트 실행
    • 악성 스크립트를 파일로 저장하지 않고, 레지스트리 값에 문자열 형태로 은닉하여 메모리상에서 바로 실행
    • 디스크에 명확한 악성 파일이 남지 않음
  • HTA 환경에서 자바스크립트와 ActiveXObject를 함께 사용 가능하여 명령 실행, 파일 생성, 추가 스크립트 호출 등 후속 행위 가능

[rundll32.exe]

  • DLL 파일에 포함된 익스포트 함수를 실행하기 위한 도구
  • 제어판 항목 실행, 시스템 설정 호출 등 정상적인 운영체제 동작에 사용
  • 파워쉘 스크립트 실행
    • 직접 DLL로드가 아닌 다른 LOL 바이너리와 연계하여 스크립트 실행하는 구조를 구성
    • 'rundll32.exe > mshta.exe > powershell.exe' 같은 실행 흐름을 형성하여, 스크립트 파일을 디스크에 저장하지 않고 메모상에서만 실행되어 '파일 기반 탐지 우회'
  • 자바스크립트 스킴 이용한 스크립트 실행
    • 특정 호출 방식으로 자바스크립트 코드 실행 허용하는 구조를 가짐
    • 공격자는 자바스크립트 코드 내부에 ActiveXObject를 생성하고, 이를 통해 추가 명령 실행
    • 파워쉘이 호출되어, 외부 서버로 부터 스크립트 다운로드하여 즉시 실행 가능 형태
  • 본래 목적인 DLL 실행에 벗어나, 스크립트 실행과 명령 전달을 위해 중간 연결(허브)로 사용됨

 

 

'보안 > 보안 개념' 카테고리의 다른 글

프로세스 리니지 이상 이벤트 식별(서비스 호스팅)  (0) 2026.05.27
한컴 오피스 문서 포스트스크립트 실행 이벤트 탐지  (0) 2026.05.27
시스마 룰  (0) 2026.05.26
SYSMON  (0) 2026.05.26
파일 업로드 취약점 대응 방안(보안코딩)  (0) 2026.05.26

'보안/보안 개념'의 다른글

  • 현재글LOL 바이너리

관련글

티스토리툴바