728x90
반응형
Notion Link : https://oval-taste-7e9.notion.site/Masquerading-6f1f6847b6a44c3db7cda50ac8969682
1. MITRE ATT&CK
ID: T1036 Masquerading
- ID: T1036.001 Invalid Code Signature
- 유효하거나 유효하지않은 인증서로 파일에 서명을 추가해 신뢰하도록 만드는 방식
- 예방
- 서명의 유효성 검사를 진행
- Masquerading: Invalid Code Signature
- ID: T1036.002 Right-to-Left Override
- U+202E 유니코드문자열을 이용한 공격방식
- 특정 문화 국가에서는 문자를 오른쪽에서부터 읽기에 해당 유니코드를 지원했는데, 이를 공격에 악용
- ex) mytext%U+202eexe.txt → mytextexe.txt
- 예방
- 정상적인 시스템의 기능을 악용하는 것으로 필터링을 통한 추가 확인 및 사용자의 주의가 필요
- U+202E 유니코드문자열을 이용한 공격방식
- Masquerading: Right-to-Left Override
- ID: T1036.003 Rename System Utilities
- 정상적인 System 파일로 위장
- ex) 정상적인 System32\rundll32.exe로 위장
- 예방
- System32와 같은 파일 시스템 경로의 엑세스를 제어
- Masquerading: Rename System Utilities
- ID: T1036.005 Match Legitimate Name or Location
- 정상적인 파일 경로에 비슷한 파일명으로 위장하는 방식
- ex) C:\Windows\explorer.exe → C:\Windows\explore.exeex) C:\Windows\explorer.exe → C:\Windows\system32\explorer.exe
Original explorer
- or
- 자주 이용되는 것
- svchost.exe → windows service host
- services.exe → windows service process
- lsass.exe → local security authority subsystem
- spoolsb.exe → print spool service
- smss.exe → session management sub system
- 예방
- 코드서명을 통한 유효성 검사
- 파일 시스템 액세스 제어를 사용하여 C:\Windows\System32와 같은 폴더를 보호
- 관리자 권한 외 시스템 파일 실행 방지
- Execution Prevention
- Masquerading: Match Legitimate Name or Location
- ID: T1036.004 Masquerade Task or Service
- 작업 스케줄러 또는 systemd에 의해 실행되는 작업/서비스의 메타데이터를 이용하여 악성코드를 정상적인 것처럼 속이는 방식
- ex) google 관련 서비스 위장
- 예방
- 정상적인 시스템의 기능을 악용하는 것으로 필터링을 통한 추가 확인 및 사용자의 주의가 필요
- DNS 조회 등 정상적인 통신인지 주기적 확인
- ex) Google Service지만 google Server와 통신하지 않고 example.com과 통신하는 경우
- Masquerading: Masquerade Task or Service
- ID: T1036.006 Space after Filename
- ex) aaa.jpg .exe
- Linux 및 Windows는 파일이름에 공백이 포함될 수 있다.
- TIP. 단일 파일을 압축할 경우 보통 파일명으로 압축된다
- 즉, 압축 해제시 파일명/파일 의 구조로 해제된다.
- 예방
- 정상적인 시스템의 기능을 악용하는 것으로 필터링을 통한 추가 확인 및 사용자의 주의가 필요
- ex) aaa.jpg .exe
- Masquerading: Space after Filename
- ID: T1036.007 Double File Extension
- 확장자를 두개써서 속이는 방식
- ex) eaxmple.txt.exe
- 예방
- OS 설정 중 “알려진 파일 형식의 확장자 숨기기” 해제
- 정상적인 시스템의 기능을 악용하는 것으로 필터링을 통한 추가 확인 및 사용자의 주의가 필요
- Masquerading: Double File Extension
728x90
반응형
'MITRE ATT&CK' 카테고리의 다른 글
| MITRE ATT&CK - Signed Binary Proxy Execution (0) | 2022.01.13 |
|---|---|
| MITRE ATT&CK - Process Injection (0) | 2022.01.13 |
