LotL(Living-off-the Land) attack이란 자급자족식 공격으로 타깃 시스템에 미리 설치되어 있는 도구를 활용하여 공격을 하는 행위를 뜻하며, 합법적인 과정으로 자신의 행위를 숨길 수 있으며 탐지를 더욱 어렵게 만듭니다. LoLBin(living-off-the-land binaries) 은 이러한 행위를 하는 동안 공격자가 악용할 수 있는 서명된 Microsoft 실행파일을 의미합니다.
최근 Windows 10의 Microsoft Update에 대한 최신 업데이트 버전을 통해 악성코드 및 기타 파일을 실행할 수 있는 현상이 발견되었습니다. 영국에 기반을 둔 보안 컨설팅 회사인 MDSec 측은 이 사례가 LoLBins에 악용될 수 있음을 우려하였습니다.
내용은 다음과 같습니다. WSUS/Windows Update client (wuauclt)는 %windir%\system32\에 있는 유틸리티로, 해당 유틸리티를 사용하여 사용자가 cmd line에서 Windows Update Agent의 기능 중 일부를 제어할 수 있습니다. 이를 통해 Windows 사용자 인터페이스를 사용하지 않고도 cmd 상에서 Update를 확인 및 설치할 수 있습니다. 또한, WSUS의 /ResetAuthorization 옵션을 사용하면 로컬 환경으로 구성된 WSUS 서버 또는 Windows Update 서비스를 통해 수동으로 업데이트 확인을 할 수 있습니다.
MDSec 측에 따르면, 공격자가 이러한 wuauclt의 특정 명령어를 이용하여 Windows 10 시스템에서 악성코드를 실행할 수 있다고 밝혔습니다.
명령어 : wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer
[그림1] test.dll을 이용하여 Cobalt Strike beacon을 실행시킨 결과(출처: MDSec)
[pate_to_dll]은 공격에 사용하고자 하는 dll 파일의 절대경로 입니다. 해당 명령어를 이용하여 공격자는 dll파일을 로드하고, 로드한 파일로부터 악성코드를 실행할 수 있습니다. [그림1]의 경우, 실제로 공격 구문을 이용하여 실행 경로에 test.dll(Cobalt Strike beacon 실행 파일)을 입력하였고, 해당 dll 파일을 이용하여 Cobalt Strike beacon 실행에 성공시켰습니다. 이는 공격자가 Cobalt Strike beacon을 실행하며 해당 PC를 원격으로 제어할 수 있는 가능성을 보여줍니다.
본 현상은 MITRE ATT&CK 의 Signed Binary Proxy Execution: Rundll32로 분류되며, 서명된 Microsoft Windows Update client(wuauclt)를 사용하여 로드된 dll을 통해 악성행위를 수행합니다. 자세한 링크는 다음과 같습니다. (https://attack.mitre.org/techniques/T1218/011/)
보안관제센터 Team MIR