파워셸(PowerShell) 악성코드 급증세

파워셸(PowerShell)은 윈도우 비스타 이상 버전에 기본 내장된 관리 도구다. 명령 프롬프트(cmd)와 비슷하지만 명령어가 조금 다르고, 원격 제어 등 고급 기능이 추가된 것이다. 일상적인 작업을 자동화하고 다수의 PC를 원격 관리하는 데 쓰인다. 조만간 파워셸이 명령 프롬프트를 완전히 대체할 것으로 업계에서는 보고 있다.

근래 파워셸을 이용하는 악성코드가 급증하는 추세인데, 탐지가 어렵기 때문이다. 일반적인 악성코드는 자체 실행파일이 있어야 하는 반면에, 이 공격은 파워셸을 실행파일로 이용하고 해커는 파워셸에 명령이나 명령 모음(스크립트)만 주입하면 된다.

파워셸에 악성 명령을 주입하는 경로는 다른 악성코드와 마찬가지다. 악성 첨부파일, 링크, 소프트웨어의 취약점 등이 이용된다. 구체적인 수단으로는 웹 페이지의 자바 스크립트, 오피스 문서의 매크로가 많이 이용된다.

보안 소프트웨어는 이에 대해 메모리 감시를 강화하고, 취약점에 의해 파워셸이 실행되는 것을 원천차단하는 등의 방법으로 대응하고 있다. 사용자로서는 확실히 아는 파일만 열어 보는 습관을 들여야 한다.


참고 자료
  1. 가장 은밀한 해커 공격 10가지
  2. 파워셸 활용한 멀웨어, 2017년에 432% 폭증
  3. 랜섬웨어 전달하는 파워쉘 악성코드
  4. PowerShell 스크립트의 95%가 악성 스크립트인 것으로 밝혀져
  5. “파일 없는 악성코드 공격 역대 최대치” 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다