HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

파워쉘 '엠파이어'를 이용한 APT 타깃 공격 주의
등록일 :
2018.03.21

□ 개요

최근 파워쉘 '엠파이어'를 이용한 APT 타깃 공격이 증가하고 있어 기관 및 조직 보안 담당자들의 주의가 요구된다.

 

□ 내용

"엠파이어(Empire)"는 파워쉘로 제작된 오프소스형 악성코드 공격 프레임워크이다. 키로거를 비롯한 계정정보를 탈취하는 "미미카츠(Mimikatz)" 등 다양한 공격 모듈을 포함하고 있다. 또한 암호화된 통신을 통해 "파일리스(Fileless)" 형태로 공격을 수행해 APT 타깃 공격을 수행하는데 활용되고 있다.

 

  

 

[그림 1] 파워쉘 '엠파이어' 악성코드 공격 프레임워크

 

 

  

[그림 2] '엠파이어'를 활용한 윈도우 계정정보 탈취

 

 

주로 문서 파일에 삽입된 매크로를 이용하여 악성스크립트를 실행해 특정 서버와 통신을 통해 파워쉘 '엠파이어' 스크립트를 메모리에 로드하고 실행한다. 난독화 된 악성스크립트를 통해 추가적인 스크립트를 다운로드 후 복호화를 통해 파워쉘 '엠파이어' 스크립트를 실행한다. 실행된 파워쉘 '엠파이어' 스크립트를 통해 명령제어(C&C)서버와 암호화된 통신을 수행하고 해커의 명령을 받아 PC정보탈취, 추가 파일 다운로드, 명령 실행 등 악성행위를 수행한다. 

 

 



 [그림 3] 실제 국내 APT 타깃 공격에 사용된 '엠파이어' 파워쉘 코드 일부

 

 

 

파워쉘 스크립트를 통해 파일을 생성하지 않아 탐지하는 데 여려움이 많고 최근 평창 올림픽을 주제로 한 타깃 공격에도 '엠파이어' 프레임워크가 사용되었기 때문에 이러한 공격이 더욱 많아질 것으로 예상되기 때문에 각별한 주의가 필요하다. 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top