현재 사이버 공격자들이 가장 선호하는 공격 툴은 파워셸

 

(아래 Notion 사이트에 정리되어 있습니다.)

- Notion 사이트 URL : https://www.notion.so/byounghee88/581bfafb90be4554921dbb8412f56728

현재 사이버 공격자들이 가장 선호하는 공격 툴은 파워셸

 

현재 사이버 공격자들이 가장 선호하는 공격 툴은 파워셸

 

- 기사 본문 : https://www.boannews.com/media/view.asp?idx=78223

현재 사이버 공격자들이 가장 선호하는 공격 툴은 파워셸

 

- 기사 요약
사이버 보안 업체 레드 카나리아(Red Canary)가 “사이버 공격자들이 가장 선호하는 공격 툴은 파워셸”이라고 발표했다.

 

레드 카나리아는 5년이 넘는 기간 동안 수백 곳이 넘는 조직들의 엔드포인트에서 발생한 공격들을 분석해보니 파워셸, 스크립팅, Regsvr32, 연결 프록시(connection proxy), 스피어피싱 첨부파일, 위장이 선호도가 높은 공격 기법인 것으로 나타났다고 한다.

 

또한 파워쉘을 가장 선호하는 이유는 다음과 같다고 밝혔다.

- 사실상 모든 윈도우 시스템에 기본적으로 탑재가 되는 기능으로 관리자급 행위를 실시할 수 있음

- 윈도우 API에 대한 접근 권한을 가지고 있어 자동화 작업이 가능함

- 비활성화 되는 경우가 거의 없으므로 사용 시 차단될 가능성이 낮음

 

파워쉘 공격을 막는 방법은 주기적인 검색을 통해 파워쉘 공격 기법에 대하여 확인하고, 정보공유를 통해 방어대책을 적용해야 한다고 밝혔다.

 

- 개인 의견
파워쉘은 윈도우 API를 사용할 수 있어 관리자가 작업 시 사용하기 매우 편리하다. 하지만 반대로 생각해보면 공격자들도 그만큼 쉽게 사용할 수 있고, 공격에 악용할 수 있다는 뜻이다. 공격에 악용되기 쉬운 파워쉘을 사용하지 않는 것보다는 파워쉘의 공격기법에 대하여 좀 더 뎁스있게 연구하여 방어에 활용할 수 있는 툴을 만들어 사용해 보는 건 어떨까라는 생각이 든다.

 

- 관련 기사

· 최근 사이버 공격의 트렌드, 파워셸 통해 숨기

· 파워쉘 ‘엠파이어’ 이용한 APT 타깃 공격 주의

· 파일레스 공격 통로 파워셸? 피하지 말고 활용해보자

---