대체 데이터 스트림(ADS) : Windows 파일 시스템 취약점

NTFS 파일 시스템의 기능 중 하나인 대체 데이터 스트림(ADS)은 원본 파일 내용을 변경하지 않고 파일에 추가 데이터를 저장할 수 있도록 합니다. 이 추가 데이터는 메타데이터를 포함하는 리소스 스트림과 같은 대체 스트림에 저장됩니다. 일반적인 예로 특정 파일 형식에 표시되는 미리보기 이미지가 있습니다. 공격자는 악성 코드를 숨기고, 악성 페이로드를 파일의 대체 스트림에 삽입하기 위해 ADS를 악용합니다. 이 기법은 악성 코드가 표준 파일 뷰어에 표시되지 않기 때문에 기존의 안티바이러스 소프트웨어와 정적 스캔 도구를 우회합니다. 악성 코드는 텍스트 문서와 같은 표면적으로는 무해한 파일에 숨겨진 실행 파일일 수 있습니다. 주 파일이 비어 있더라도 숨겨진 실행 파일은 해당 ADS 내에 존재합니다. 이 숨겨진 악성 코드에 접근하고 실행하려면 종종 관리자 권한이 필요하며, UAC 취약점 악용과 같은 기법을 통해 얻을 수 있습니다. 공격자는 이를 이용하여 Windows 업데이트 확인 중에 악성 코드를 실행할 수 있습니다. 이는 ADS와 관련된 보안 위험과 고급 보안 조치의 필요성을 강조합니다. 이러한 유형의 위협을 식별하고 완화하려면 ADS에 대한 이해가 필수적입니다.