해킹 종류 Powershell(파워쉘) File less(파일리스) - 6편

필자가 운영중인 회사의 특정 솔루션 취약점으로 랜섬웨어 감염사례가 속출하는 경험을 많이 했습니다. 특정 솔루션의 보안 취약점을 해커가 악용하여 운영중인 서버내 침투한것입니다. 어떤 방식으로 침투하였는지 공격벡터와 공격 방식에 대해 사례를통해 알아보겠습니다. 공격벡터를 확인해본 결과 윈도우 cmd 명령어 제어 권한을 획득 후 파워쉘을 통해 악성코드를 설치하였습니다. 최초 침투후 파일리스 형태로 메모리에 악성코드를 올린후 실제 .ps 파일과 같은 악성코드는 삭제하는것이 특징입니다. 추가적으로 설명드리자면, 보안 취약점을 통해 침입 후 윈도우 내장 명령어 bitsadmin, certutil 등을 사용하여 외부로 부터 악성코드를 다운로드 받은 흔적이 발견되었습니다. 이때 사용하는 위에서 언급한 내장 명령어를 사..