XSL Script Processing [T1220]


1. XSL Script Processing [T1220]

공격자는 XSL 파일에 스크립트를 포함하여 애플리케이션 제어를 우회하고 코드 실행을 모호하게 할 수 있습니다.

마이터에서 T1220로 관리하고 있는 공격입니다.


2. 데모 공격 시나리오

1) XSL Script Processing 기법이 사용된 악성파일 실행

2) 공격로그가 PLURA에서 정상적으로 수집되었는지 확인

3) PLURA 마이터어택, 호스트 필터를 활용한 분석 방법


3. 참고사이트

[1] 탈륨 (Thallium) 조직, XSL Script Processing 공격 수행 [T1220] http://blog.plura.io/?p=13301

[2] 랜섬웨어 탐지, 상관분석 기능 사용법 (2021.01.27) http://blog.plura.io/?p=13497