LOLBAS 프로젝트
https://lolbas-project.github.io/
최근 몇년간 파일리스 기법들이 알려지면서 윈도우 기본 유틸리티나 스크립트를 사용해서 악성 행위를 수행하는 경우를 많이 접하게 되었고 해당 기법들에 대한 관심도와 중요도가 높아졌다.
일반적으로 알려진 파일리스 기법은 Living off the Land(LotL) 기법 (신뢰 할 수 있는 유틸리티 등으로 악성 행위를 수행하는 기술. ex) PowerShell 스크립트, WMI 등)의 일부라고 볼 수 있다.
LOLBAS 프로젝트는 Living off the Land(LotL) 기법 (신뢰 할 수 있는 유틸리티 등으로 악성 행위를 수행하는 기술. ex) PowerShell 스크립트, WMI 등)에 이용될 수 있는 모든 바이너리, 스크립트 및 라이브러리를 문서화 하는 프로젝트 이다.
트위터에서 여러 보안 리서처들이 해당 프로젝트의 필요성에 대해 토론을 한 끝에 작년부터 프로젝트가 진행되었으며, 지속적으로 업데이트가 진행되고 있다.
Windows 기본적으로 제공하는 프로그램, AcroRd32.exe와 같은 자주 사용되는 프로그램들도 어떻게 악용될 수 있는지에 대해 설명하고 있고, 참고 레퍼런스와 예시도 함께 명시되고 있다.
ADS
AWL bypass
Compile
Copy
Credentials
Decode
Download
Dump
Encode
Execute
Reconnaissance
UAC bypass
Upload
각 행위는 위와 같은 카테고리로 분류하여 제공하고, MitreAtt&ck matrix의 어떤 기술과 매칭되는지도 명시되어 있어서 악성코드 탐지 하는데 활용 수 있어 보인다.
malware analysis/분석에 유용한 프로젝트 & 툴