# XSL Script Processing \[T1220]

{% embed url="<https://youtu.be/1RoD8f8GYcw>" %}

### 1. XSL Script Processing \[T1220] <a href="#id-1" id="id-1"></a>

공격자는 XSL 파일에 스크립트를 포함시켜 애플리케이션 제어를 우회하고 코드 실행을 모호하게 만들 수 있습니다. \
이 공격 기법은 마이터에서 T1220으로 분류되어 관리됩니다.

### 2. 데모 공격 시나리오 <a href="#id-2" id="id-2"></a>

1\) XSL Script Processing 기법이 사용된 악성 파일 실행

2\) 공격 로그가 PLURA에서 정상적으로 수집되었는지 확인

3\) PLURA의 마이터 어택(MITRE ATT\&CK) 및 호스트 필터를 활용한 분석 방법

### 3. 참고사이트 <a href="#id-3" id="id-3"></a>

\- 탈륨(Thallium) 조직, XSL Script Processing 공격 수행 \[T1220]: <https://blog.plura.io/ko/threats/thallium_xsl_script_processing_t1220/>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.plura.io/ko/video/demo/web/xsl.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.