XSL Script Processing [T1220]

1. XSL Script Processing [T1220]

공격자는 XSL 파일에 스크립트를 포함시켜 애플리케이션 제어를 우회하고 코드 실행을 모호하게 만들 수 있습니다. 이 공격 기법은 마이터에서 T1220으로 분류되어 관리됩니다.

2. 데모 공격 시나리오

1) XSL Script Processing 기법이 사용된 악성 파일 실행

2) 공격 로그가 PLURA에서 정상적으로 수집되었는지 확인

3) PLURA의 마이터 어택(MITRE ATT&CK) 및 호스트 필터를 활용한 분석 방법

3. 참고사이트

- 탈륨(Thallium) 조직, XSL Script Processing 공격 수행 [T1220]: https://blog.plura.io/ko/threats/thallium_xsl_script_processing_t1220/