WMI 바이러스: 디스크 없는 실행 달성
개념 증명 프로젝트인 Stuxnet은 악성 코드를 Windows 관리 계측(WMI)에 숨겨 디스크 없는 실행을 달성하는 새로운 바이러스를 보여줍니다. 이 바이러스는 WMI를 파일 시스템으로 사용하고 부팅 시 PowerShell 스크립트를 이용하여 페이로드를 메모리에 추출하고 로드합니다. 이 프로젝트에는 새로운 권한 상승 기법과 고급 안티바이러스 회피 기술(온디맨드 시스템 라이브러리 로딩, 동적 함수 오프셋 검색 등)이 포함되어 주요 안티바이러스 소프트웨어 및 샌드박스의 탐지를 회피할 수 있습니다. 또한, 작성자는 WMI 내의 커널 공간 취약점 악용 가능성을 시사합니다.
더 보기