WF-LOLBIN-001 정상 도구/서명된 바이너리 악용

정상 시스템 도구나 서명된 바이너리가 공격 행위의 실행 프록시로 사용된 정황을 분석하는 Workflow다. 파일명만 정상인지 보지 않고 명령줄 인자, 부모 프로세스, 실행 위치, 후속 파일/네트워크 행위를 확인한다.

1. 행위 정의

공격자가 보안 탐지를 우회하거나 신뢰를 얻기 위해 운영체제 기본 도구와 정상 관리 도구를 공격 행위에 사용하는 행위다. 정상 도구 실행 자체가 아니라 비정상 인자, 비정상 부모 프로세스, 비정상 대상 파일을 중심으로 판단한다.

2. 관련 Technique

3. 먼저 확인할 로그

4. 빠른 KQL

rundll32/comsvcs LSASS dump

process.name: "rundll32.exe" and process.command_line: ("*comsvcs.dll*" and "*MiniDump*" and "*lsass*")

PowerShell 다운로드/난독화

process.name: ("powershell.exe" or "pwsh.exe") and process.command_line: ("*-enc*" or "*Invoke-WebRequest*" or "*DownloadString*")

schtasks 등록

process.command_line: ("*schtasks /create*" or "*Register-ScheduledTask*")

5. 분석자가 할 일

1. 실행된 정상 도구와 전체 command line을 고정한다.
2. 부모 프로세스, 실행 계정, 실행 위치가 정상인지 확인한다.
3. 도구 사용 목적이 dump, 다운로드, 지속성, 원격 실행 중 무엇인지 분류한다.
4. 같은 command line 또는 hash로 확장 검색한다.
5. 후속 credential 접근, 파일 생성, 네트워크 연결을 Pivot한다.

6. 판단 기준

7. LLM Prompt Template

너는 SIEM에 연결된 침해사고 분석 보조자다.
다음 조건으로 "정상 도구/서명된 바이너리 악용" 정황을 조사하라.

입력:
- 시간 범위:
- 의심 호스트:
- 의심 프로세스:
- 의심 계정:
- 관측된 command line:

요청:
1. Sysmon, Security, PowerShell, EDR, 네트워크 로그를 조회하라.
2. 프로세스 트리와 명령줄을 분석해 목적 행위를 분류하라.
3. 정상 관리 가능성과 공격 악용 가능성을 구분하라.
4. 후속 파일 생성, 네트워크 연결, credential 접근 Pivot을 확인하라.
5. 초동 대응 조치를 작성하라.

출력 형식:
- 관측된 사실
- 악용 도구
- 목적 행위
- 의심 근거
- 추가 Pivot
- 대응 조치

8. 대응 요약

• 프로세스 트리, command line, 관련 파일을 보존한다.
• 비정상 도구 사용이면 호스트 격리와 credential 회전을 검토한다.
• 동일 command line, parent, destination으로 확장 검색한다.
• LOLBin 탐지 룰과 허용된 관리 도구 기준을 정비한다.