Univ

[2024 동계 모각코] 2025-02-04(화) 결과

me0w2en 2025. 2. 4. 22:30

1. 다양한 페이로드 생성 방법 학습 (실행 파일, DLL, 문서 파일)

1.1. 개요 및 역할

  • 스테이징(staging) 페이로드와 스테이지리스(stageless) 페이로드를 구분하여 이해하는 작업
  • 실행 파일(EXE), DLL, 문서 파일 등 여러 형식의 페이로드를 생성하고 활용하는 실습
  • 각 페이로드 형식에 따른 탐지 위험성과 유연성을 연구하여 효과적인 공격·방어 시나리오 수립

1.2. 스테이징과 스테이지리스 페이로드의 차이

  • 스테이징 페이로드
    • 최초 로더(스테이저)와 추가 페이로드(스테이지)로 구성
    • 네트워크 통신을 통해 필요한 악성 코드를 동적으로 가져오는 구조
    • 페이로드 크기 최소화, 유연한 업데이트 가능
  • 스테이지리스 페이로드
    • 단일 페이로드 내 모든 악성 기능 탑재
    • 추가 다운로드 절차가 없어 네트워크 분석 시 노출 가능성 감소
    • 페이로드 크기 증가, 업데이트 시 재배포 필요

1.3. 페이로드 형식별 특성

  • 실행 파일(EXE) 형태
    • 직관적인 실행 방식으로 사용자 유도가 비교적 쉬운 형식
    • 운영체제별 실행 파일 포맷 분석 및 서명 검증 우회 기법 연구 필요
  • DLL 형태
    • 프로세스 내 동적 로딩으로 실행 파일보다 탐지 우회가 유리한 편
    • Reflective DLL 기법 등 메모리 상에서 은밀하게 동작 가능
  • 문서 파일 형태
    • 매크로, OLE 개체 등을 활용해 사용자의 신뢰를 이끌어내기 쉬운 형식
    • 보안 솔루션이 강화됨에 따라 매크로 실행 허용 정책 및 탐지 규칙 분석 필요

1.4. 실전 적용 아이디어

  • EXE, DLL, 문서 파일별 페이로드를 직접 생성하고 가상 환경에서 동작 테스트
  • 스테이징 vs 스테이지리스 방식을 비교·분석하여 은밀성, 유연성, 유지보수 관점 평가
  • 보안 솔루션에서 각각의 페이로드가 어떤 방식으로 탐지되는지 비교·연구

2. 페이로드 난독화 및 암호화 기법 학습

2.1. 개요 및 역할

  • 페이로드 내부 코드를 복잡하게 변환하거나 암호화하여 정적 분석을 방해하는 기법
  • 시그니처 기반 탐지 회피와 동적 분석 어려움을 유도하여 보안 솔루션 우회
  • 난독화 도구, 패커(packer) 등 활용 방안 파악 및 실전 적용 연구

2.2. 난독화와 암호화 기법

  • 코드 난독화
    • 문자열 치환, Control Flow Flattening, API 호출 방해 기법
    • 디컴파일 및 디버깅 과정에서 분석 난이도 상승
  • 암호화 기법
    • 메모리 내 로더가 실제 코드를 복호화하여 동적으로 실행
    • 네트워크 전송 단계에서 통신 내용을 암호화해 중간 분석 방해
  • 오픈소스 난독화 도구 활용
    • 패커(packer), Obfuscator를 사용해 페이로드 변환
    • 자체 난독화 스크립트 작성 등을 통해 실험적인 시도 가능

2.3. 안티바이러스 우회 기법

  • 서명 기반 검출 우회
    • 폴리모픽 코딩, 매번 재컴파일, 동적 변수 생성 등을 통해 시그니처 불일치 유도
  • 프로세스 훅 및 메모리 기반 분석 우회
    • API 호출 은폐, 프로세스 인젝션을 통한 메모리 상 은밀 실행
  • 가상 환경 실험
    • 다양한 안티바이러스 제품을 설치한 가상 머신에서 실제 우회 성공 여부 확인
    • 탐지 로그 분석으로 AV 동작 원리 파악 후 추가 개선

2.4. 실전 적용 아이디어

  • 난독화된 페이로드를 직접 작성하고 탐지 솔루션 반응 관찰
  • 문서 파일 매크로에 난독화 기술을 적용해 탐지 솔루션 반응 비교
  • 로더와 암호화 기법을 단계적으로 도입해 페이로드 크기·탐지 우회율 간 균형점 모색

3. 정리

  • 여러 형태의 페이로드(EXE, DLL, 문서 파일 등)를 통해 공격 시나리오 설계 능력을 강화하는 과정
  • 스테이징과 스테이지리스 페이로드를 구분해 목적·환경별 최적화된 페이로드 구성 추구
  • 난독화·암호화 기술을 결합해 보안 솔루션 우회 및 탐지 지연 전략을 마련하는 작업
  • 가상 환경에서 반복적 실습 및 우회 기법 테스트를 통해 분석 역량 및 방어 전략 수립

 

📎 참고 자료

  • MITRE ATT&CK - Initial Access
  • 논문: "Modern Payload Delivery Techniques" (DEF CON 27)
  • 다양한 유형의 페이로드를 직접 생성하고 분석하는 실습
  • 오픈소스 난독화 도구 활용 및 효과 테스트
  • 가상 환경 내 안티바이러스 소프트웨어 설치 후 우회 실험 통한 데이터 수집
저작자표시 비영리 변경금지