공격자는 XSL 파일에 스크립트를 포함하여 애플리케이션 제어를 우회하고 코드 실행을 모호하게 할 수 있습니다.
마이터에서 T1220로 관리하고 있는 공격입니다.
1) XSL Script Processing 기법이 사용된 악성파일 실행
2) 공격로그가 PLURA에서 정상적으로 수집되었는지 확인
3) PLURA 마이터어택, 호스트 필터를 활용한 분석 방법
[1] 탈륨 (Thallium) 조직, XSL Script Processing 공격 수행 [T1220] http://blog.plura.io/?p=13301
[2] 랜섬웨어 탐지, 상관분석 기능 사용법 (2021.01.27) http://blog.plura.io/?p=13497