'Living off the Land (LotL)'는 현지 자원을 활용하는 것을 의미합니다.

Living off the Land 정의

Living off the Land (LotL)은 사이버 보안에서 공격자가 시스템에 존재하는 기존 도구와 유틸리티를 사용하여 악의적인 활동을 수행하는 전술을 의미합니다. 전통적인 멀웨어에 의존하기보다는, PowerShell, Windows Management Instrumentation (WMI) 및 기타 관리 도구와 같은 합법적인 시스템 구성 요소를 활용하여 공격을 수행합니다. LotL 공격은 시스템에서 정상적이고 신뢰할 수 있는 활동과 섞이기 때문에 보안 솔루션의 탐지를 피하는 경우가 많습니다.

Living off the Land 작동 방식

공격자는 스크립트 언어, 명령 줄 인터프리터 또는 시스템 관리 도구와 같이 대상 시스템에 내장된 도구와 유틸리티를 활용합니다. 이러한 합법적인 도구를 이용함으로써 공격자는 네트워크를 가로질러 이동하고, 정보를 수집하고, 명령을 실행하고, 기타 악의적인 행동을 수행할 수 있습니다. LotL 공격은 시스템에 내장된 자원을 사용하여 작업을 예약하거나 시스템 구성을 조작함으로써 손상된 시스템에서 지속성을 유지할 수 있습니다.

Living off the Land 공격 방지 팁

Living off the Land 공격을 방어하기 위해 조직과 사용자가 취할 수 있는 몇 가지 예방 조치는 다음과 같습니다:

  1. 애플리케이션 제어 및 화이트리스트 구현: 네이티브 시스템 도구의 무단 사용을 방지하기 위해 애플리케이션 제어 조치를 구현하고 알려진 합법적인 프로그램을 화이트리스트에 추가하는 것이 중요합니다. 승인된 애플리케이션만 실행되도록 허용함으로써, 조직은 신뢰할 수 있는 도구를 악의적인 목적으로 이용하는 리스크를 줄일 수 있습니다.

  2. 정기적으로 시스템 활동 모니터링: 정기적으로 시스템 활동을 모니터링하여 신뢰할 수 있는 시스템 유틸리티의 비정상적인 행동이나 이상 사용을 감지하는 것이 중요합니다. 이는 SIEM 솔루션을 사용하거나 시스템 로그를 분석하여 의심스러운 활동 패턴을 찾음으로써 이루어질 수 있습니다. 비정상적인 활동을 신속히 식별함으로써, 조직은 공격자가 추가 피해를 일으키기 전에 적절한 조치를 취할 수 있습니다.

  3. 엔드포인트 탐지 및 대응 (EDR) 솔루션 활용: 네이티브 시스템 구성 요소와 관련된 의심스러운 활동을 탐지하고 대응하기 위한 효과적인 방법으로 엔드포인트 탐지 및 대응 (EDR) 솔루션을 배포할 수 있습니다. EDR 솔루션은 실시간으로 시스템 이벤트, 네트워크 트래픽 및 파일 활동을 모니터링하여 잠재적인 LotL 공격을 신속히 탐지하고 대응할 수 있도록 합니다.

  4. 시스템 및 소프트웨어 최신 상태 유지: 시스템과 소프트웨어를 정기적으로 업데이트하여 보안을 유지하고 공격자가 사용할 수 있는 알려진 취약점을 방어하는 것이 중요합니다. 운영 체제, 애플리케이션 및 보안 소프트웨어가 최신 보안 수정 사항 및 업데이트로 패치되었는지 확인하십시오. 이렇게 하면 공격자가 알려진 취약점을 활용하여 Living off the Land 공격을 수행할 가능성을 줄입니다.

  5. 교육 및 인식 제고: 조직은 직원들에게 Living off the Land 공격에 사용되는 위험과 기법을 교육하기 위해 사이버 보안 인식 교육에 투자해야 합니다. 인식을 높이고 시스템 관리 및 보안에 대한 모범 사례에 대한 지침을 제공함으로써, 직원들은 이러한 공격에 대한 효과적인 방어선이 될 수 있습니다.

  6. 네트워크 분리 및 최소 권한 구현: 네트워크 분리 및 최소 권한 정책은 Living off the Land 공격의 잠재적 영향을 제한할 수 있습니다. 필요에 따라 중요한 시스템과 자원에 대한 접근을 제한함으로써, 조직은 공격자의 횡적 이동을 억제하고 성공적인 공격의 가능성을 줄일 수 있습니다.

  7. 정기적으로 취약성 평가 및 침투 테스트 수행: 정기적인 취약성 평가와 침투 테스트를 수행하여 공격자가 악용할 수 있는 시스템 및 애플리케이션의 잠재적 약점을 식별할 수 있습니다. 적극적으로 취약점을 식별하고 해결함으로써, 조직은 Living off the Land 공격의 성공률을 최소화할 수 있습니다.

관련 용어

  • Command and Control (C2): 공격자가 손상된 시스템 또는 멀웨어를 원격으로 관리하고 제어하는 메커니즘.
  • Privilege Escalation: 공격자가 시스템이나 네트워크 내에서 더 높은 수준의 접근 권한을 획득하기 위해 취약점을 악용하는 과정.

Get VPN Unlimited now!

other platforms