윈도우에 악성코드가 메모리로 삽입되기 위해서는 대부분 Powershell 스크립트를 사용합니다.

대부분의 탐지는 디스크를 분석하며 탐지하기에, 메모리상에서만 존재하는 악성코드를 잡기란 쉽지 않습니다.

따라서 우리는 애초에 메모리에 삽입되는 스크립트를 잡아야 하는것이죠!

위에서 보이는 Stage는 파일리스 악성코드의 공격 Stage 입니다. 메모리에 악성코드 스크립트가 삽입되기까지 Stage 1,2 에서 우회를 하고 최종적으로 Stage 3에서 실행되죠.

이러한 공격방법에서는 공격자는 Powershell 을 많이 사용합니다. Powershell 이 권한획득/우회 에 있어 매우 강력하기 때문이죠!

아래는 WMI 를 통한 파일리스 악성코드 실행 순서입니다.

위의 과정을 지나면 아래와 같이 윈도우 시스템 프로퍼티에다가 스크립트가 박힙니다.

이를 통해 공격자는 백도어를 쉽게 구성할 수 있어요.

그래서 종합해보면, 아래와 같이 종합해볼 수 있어요.

파일리스는 권한획득/우회 가 쉬운 PowershellScript 를 통해 들어오며, 난독화를 거쳐, 윈도우 기본 라이브러리인 WMI 에 접근합니다. 이 WMI 를 통해 공격자는 시스템이 재부팅될 때 공격 스크립트를 자동으로 실행시킬 수 있어요(이를 지속성-Persistance 라고 합니다).

현재(2021년 9월) 눈여겨볼 논문들은 총 8개로 아래와 같이 정리해보았습니다.

이 때 같은 데이터셋을 가지고 탐지하는 모델끼리 비교하는 것이 모델성능을 비교하기에 좋습니다.

따라서 Pulling Back the certain on EncodedCommand PowerShell Attacks 이라는 기술문서의 데이터셋을 공통적으로 처리하는 모델 5가지를 비교하려고 합니다(그 중 대표되는 논문인 AST-Based Deep Learning for Detecting Malicious PowerShell 만 기술하겠습니다. 다른 논문정리는 다음 링크를 확인해주세요! 파일리스 악성코드 분석 자료).

Frequency Model 을 통한 특성 도출

결과

정밀도 : 0.8562 재현율 : 0.7057 F1-score : 0.7737

후기

사실 LSTM 과 TF-IDF 를 앙상블하여 모델링 해보았지만, LSTM 이 악성 스크립트를 잘 학습하지 못했습니다. 아마 AST 로는 악성 스크립트의 특성이 반영되지 못한게 가장 큰 이유가 아닐까 생각합니다. 따라서 앙상블을 중간에 제외하고 TF-IDF 로만 반영하여 학습하였습니다.

그리고 대부분의 제공된 데이터셋은 난독화가 되어 있었습니다. 따라서 해당 부분을 비난독화하고자 Revoke Expression/PowerDecoder 등 여러 툴을 사용하여 진행하였지만, 약 5%는 난독화가 제대로 진행되지 않았습니다. 즉, 모델학습에 치명적인 결과를 초래한다는 것이죠! 결과로 꽤 낮은 정밀도가 나왔다고 생각합니다.