# XSL Script Processing \[T1220]

{% embed url="<https://youtu.be/1RoD8f8GYcw>" %}

### 1. XSL Script Processing \[T1220] <a href="#id-1" id="id-1"></a>

공격자는 XSL 파일에 스크립트를 포함시켜 애플리케이션 제어를 우회하고 코드 실행을 모호하게 만들 수 있습니다. \
이 공격 기법은 마이터에서 T1220으로 분류되어 관리됩니다.

### 2. 데모 공격 시나리오 <a href="#id-2" id="id-2"></a>

1\) XSL Script Processing 기법이 사용된 악성 파일 실행

2\) 공격 로그가 PLURA에서 정상적으로 수집되었는지 확인

3\) PLURA의 마이터 어택(MITRE ATT\&CK) 및 호스트 필터를 활용한 분석 방법

### 3. 참고사이트 <a href="#id-3" id="id-3"></a>

\- 탈륨(Thallium) 조직, XSL Script Processing 공격 수행 \[T1220]: <https://blog.plura.io/ko/threats/thallium_xsl_script_processing_t1220/>