Binary 중심에서 Identity 중심으로 진화한 Modern LOTL 공격 패러다임 분석

Context

전통적인 Living Off the Land(LOTL)는 OS 내 신뢰된 Binary를 이용한 실행에 의존함. 하지만 EDR의 행동 기반 탐지와 Context Stacking 기술 고도화로 인해 정적인 LOLBins 리스트 기반의 공격 방식은 탐지 가능성이 매우 높아진 상태임.

Technical Solution

• 실행 주체를 Binary에서 Identity로 전환하여 권한 구조 자체를 인프라로 활용하는 설계
• OAuth Token, Session Cookie, Service Principal 등 인증 Artifact를 통한 신뢰 관계 오용
• 브라우저를 단순 툴이 아닌 Runtime Environment로 정의하여 Authenticated Session 기반의 제어권 확보
• CI/CD Pipeline 및 Cloud Control Plane의 신뢰된 워크플로우 내에 공격 로직을 편입시켜 탐지 회피
• 로컬 시스템의 실행 파일 기반 공격에서 분산된 Identity Graph 및 Cloud API 기반의 실행 구조로 확장