PowerShell 스크립트의 95%가 악성 스크립트인 것으로 밝혀져
IT 종사자들에게 Powershell이란 윈도우 시스템에 존재하는 매우 강력한 툴입니다. MS 역시 이러한 Powershell을 Windows 시스템의 기본 명령줄 도구로 설정해 놓았습니다.
하지만 최근 한 보안기업은 보고서를 통해 PowerShell스크립트 중의 95% 이상이 악성스크립트이며, 주로 다운로더의 역할을 한다고 밝혔습니다.
공격자들은 PowerShell 프레임 워크를 이용해 악성 페이로드를 내려받고 사용자 PC를 모니터링 하거나 네트워크를 통해 유포시킵니다. 연구 결과에 따르면, 95.4%의 PowerShell 스크립트가 악성인 것으로 밝혀졌습니다. 이는 외부의 PowerShell 스크립트가 기업 보안에 매우 큰 위협이 되고 있다는 것을 의미합니다.
최근 발생한 많은 APT 공격이 PowerShell 스크립트를 이용한 것으로 확인되었습니다. PowerShell 스크립트는 파일 없이 공격목표를 감염시킬 수 있기 때문에 점점 더 많은 뱅킹 및 다른 악성코드들이 공격에 PowerShell을 사용하고 있는 추세입니다.
한편, 최근 발견된 “August”악성코드는 PowerShell을 이용한 파일리스 공격방식을 통해 유포되었습니다. 이 악성코드는 기업의 로그인 계정과 민감정보를 탈취하기 위해 악성 매크로가 포함된 워드 문서를 유포하였습니다. 사용자가 워드 문서를 클릭하면, PowerShell 명령이 실행되고 악성 페이로드가 다운로드된 후 실행됩니다.
PowerShell은 주로 오피스의 매크로 기능과 함께 사용되며, Exploit Kit들도 PowerShell을 사용하기도 합니다.
악성 PowerShell 스크립트 통계
악성 PowerShell스크립트는 2016년 급격히 증가했습니다. 올해만 49,127개의 악성 PowerShell 스크립트가 수집되었습니다. 분석 결과 약 8%의 악성 스크립트만이 대문자와 소문자를 혼용해서 쓰는 난독화 기술을 사용하였으며, 명령 파라미터에 대해 난독화를 진행한 경우는 없었습니다.
PowerShell을 이용하여 가장 많이 유포되는 악성코드들은 W97M.Downloader, Trojan.Kotvert, JS.Downloader로 확인되었습니다. 또한 PowerShell이 가장 자주 사용하는 명령 파라미터는“NOPROFILE”,“WindowsStyle” , “ExecutionPolicy” 였습니다.
이미 공격이 성공한 네트워크에 대해 공격자들은 Invoke-Command、Enter-PSSession、WMI/wmic/Invoke-WMImethod、Task Scheduler의 PowerShell 인젝션 방법을 사용하였으며, PsExe 툴 등을 이용하였습니다. 또한 네트워크 내에서의 생존력을 높이기 위해 시작프로그램에 추가, 그룹정책 혹은 WMI 사용, 로컬 설정파일 변경 등의 행위를 수행합니다.
그렇다면 어떻게 예방해야 하는가?
1. 최신버전의 백신 및 PowerShell 설치
2. 기업 내 PowerShell 호출 로그 모니터링 및 PowerShell 행위 모니터링
3. 주기적인 PowerShell 명령어 모니터링
4. 출처 불분명한 이메일에 포함된 첨부파일 혹은 링크 클릭 금지
참고 :
교묘한 피싱 공격에 넘어가지 마세요 (0) | 2017.01.18 |
---|---|
유명 검색엔진 Elasticsearch, 랜섬웨어 공격의 타겟되고 있어... 사용자 주의 (0) | 2017.01.17 |
ElTest 멀웨어 캠페인 전략 변경, 게이트 사용 및 난독화 중단해 (0) | 2017.01.16 |
몸값으로 $250,000를 요구하지만, 파일은 복호화하지 않는 리눅스용 랜섬웨어 KillDisk 발견 (0) | 2017.01.11 |
Alipay에서 비밀번호를 변경할 수 있는 취약점 발견 (0) | 2017.01.11 |
댓글 영역