MITRE ATT&CK: T1059.003 (Windows Command Shell) | 전술: Execution | 플랫폼: Windows
도입: 왜 이 공격이 중요한가
당신이 회사 PC에 로그인하는 순간, 해커는 이미 당신의 컴퓨터에서 cmd.exe를 실행하고 있을지도 모릅니다. Windows 명령 프롬프트(cmd.exe)는 시스템의 거의 모든 기능을 제어할 수 있는 강력한 도구입니다. 바로 이 점 때문에 해커들이 시스템에 침투한 후 가장 먼저 찾는 것이 바로 명령 프롬프트입니다.
Windows Command Shell 공격은 정상적인 시스템 도구인 cmd.exe를 악용하여 명령을 실행하고, 배치 파일을 통해 자동화된 공격을 수행하는 기법입니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 정상 도구 악용: cmd.exe는 Windows에 기본 설치된 정상적인 도구이므로 안티바이러스에 탐지되지 않음
- 강력한 제어 능력: 파일 시스템 접근, 네트워크 연결, 프로세스 제어 등 시스템의 거의 모든 기능에 접근 가능
- 원격 실행 지원: SSH, RDP 등을 통해 원격에서도 명령 실행이 가능하여 지속적인 제어가 용이
동작 흐름
2. 실제 공격 사례
📌 FIN7 - FINcoding 난독화 기법 (2017-2018)
배경: 금융 동기를 가진 러시아 기반 해킹 그룹 FIN7은 전 세계 소매업, 요식업, 숙박업을 대상으로 POS(Point-of-Sale) 시스템을 공격하여 수백만 건의 신용카드 정보를 탈취했습니다. 이들은 cmd.exe의 네이티브 문자열 치환 기능을 악용한 독창적인 난독화 기법을 개발했습니다.
공격 과정:
- 스피어피싱: 악성 Office 문서가 첨부된 이메일을 통해 초기 침투
- FINcoding 난독화: cmd.exe의 환경 변수 치환 기능을 악용한 고유 난독화 기법 사용
- 예:
cmd.exe /k "SET a01=wscr& SET a02=ipt&&call %a01%%a02% /e:jscript //b %TEMP%\errors.txt
- 예:
- GRIFFON/BATELEUR 배포: 난독화된 명령을 통해 JavaScript 기반 백도어 실행
피해 규모: 전 세계 100개국 이상에서 수천 개의 조직이 피해를 입었으며, 수십억 달러의 신용카드 사기가 발생했습니다. FIN7의 난독화 기법은 너무 독창적이어서 FireEye가 "FINcoding"이라고 명명하고, 이후 Daniel Bohannon의 Invoke-DOSfuscation 연구에 영감을 주었습니다.
출처: Google Cloud - FIN7 Pursuing an Enigmatic and Evasive Global Criminal Operation
📌 Putter Panda (APT2) - 4H RAT 공격 (2014)
배경: 중국 해킹 그룹 Putter Panda가 개발한 4H RAT(Remote Access Trojan)을 사용하여 다양한 기업과 정부 기관을 대상으로 한 지속적인 사이버 스파이 활동입니다.
공격 과정:
- RAT 설치: 표적 시스템에 4H RAT 악성코드를 설치하여 원격 제어 권한 획득
- 원격 셸 생성: cmd.exe를 통해 원격 셸을 생성하여 실시간으로 명령 실행
- 정보 수집: 명령 프롬프트를 통해 시스템 정보, 사용자 계정, 네트워크 구성 등을 수집하고 기밀 데이터 탈취
피해 규모: 수십 개 기업의 지적 재산권과 기밀 정보가 유출되었으며, 특히 항공우주, 에너지 분야가 집중 타겟이 되었습니다.
출처: CrowdStrike Intelligence Report: Putter Panda
📌 TICK 그룹 - Operation ENDTRADE (2019)
배경: 일본을 중심으로 동아시아 지역의 제조업체와 정부 기관을 표적으로 하는 TICK 해킹 그룹이 ABK 백도어를 사용하여 기밀 정보를 탈취한 사건입니다.
공격 과정:
- 다단계 백도어 설치: 표적 시스템에 ABK 백도어를 설치하여 지속적인 접근 권한 확보
- PE 파일 실행: cmd.exe를 통해 Portable Executable(PE) 파일을 실행하여 추가 악성코드 배포
- 기밀 데이터 수집: 명령 프롬프트를 활용하여 산업 기밀과 분류된 정보를 체계적으로 수집
피해 규모: 일본, 한국, 러시아 등 동아시아 지역의 주요 제조업체와 연구 기관의 기술 자료가 대량 유출되었습니다.
출처: Operation ENDTRADE: TICK's Multi-Stage Backdoors
3. 왜 탐지가 어려운가?
공식 탐지 방법
[DET0202] Windows Command Shell 실행의 행동 기반 탐지: cmd.exe의 대화형 또는 스크립트 악용, 배치 파일, 셸 호출 체인을 탐지합니다. 비정상적인 부모-자식 관계(예: 일반적이지 않은 부모 프로세스에서 실행되는 cmd.exe), 이상한 명령줄 매개변수, 그리고 정찰, 자격 증명 접근, 측면 이동 행위와의 연계를 중점적으로 모니터링합니다.
공격자가 이 기법을 선호하는 이유
- 정상 도구의 위장: cmd.exe는 Windows의 핵심 구성 요소이므로 실행 자체가 의심스럽지 않아 보안 솔루션의 화이트리스트에 포함되어 있음
- 흔적 최소화: 메모리에서 직접 실행되는 명령들은 디스크에 파일을 남기지 않아 포렌식 분석을 어렵게 만듦
- 다양한 실행 경로: 정상적인 업무용 스크립트, 시스템 관리 작업과 구분하기 어려워 오탐률이 높음
- 난독화 가능성: FIN7의 FINcoding처럼 환경 변수 치환을 통해 명령어를 난독화하여 시그니처 기반 탐지 우회
탐지의 현실적 한계
Windows 환경에서 cmd.exe는 매일 수천 번 실행되는 정상적인 도구입니다. IT 관리자의 시스템 점검, 개발자의 빌드 스크립트, 사용자의 간단한 파일 작업까지 모든 것이 명령 프롬프트를 통해 이루어집니다. 이로 인해 악의적인 사용과 정상적인 사용을 구분하는 것은 매우 어려우며, 대부분의 보안 솔루션은 오탐을 줄이기 위해 cmd.exe 실행에 대한 알림 수준을 낮게 설정할 수밖에 없습니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- 업무용 PC에서 관리자 권한으로 로그인하여 사용하는 경우
- 이메일 첨부파일이나 웹 다운로드를 통해 자주 실행 파일을 받아 실행하는 경우
- 원격 데스크톱(RDP)이나 SSH 등 원격 접속 서비스가 인터넷에 노출되어 있는 경우
- 배치 파일(.bat, .cmd)이나 스크립트를 정기적으로 실행하는 업무 환경인 경우
공식 대응 방안
[M1038] 실행 방지: 적절한 애플리케이션 제어를 사용하세요.
당장 할 수 있는 것
- 애플리케이션 화이트리스트 적용: 승인된 프로그램만 실행될 수 있도록 Windows Defender Application Control 또는 AppLocker 설정하기
- 최소 권한 원칙 적용: 일반 사용자 계정으로 작업하고 관리자 권한이 필요한 경우에만 별도 승인 받기
- 이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기: 평소보다 느린 시스템 성능이나 알 수 없는 명령 프롬프트 창이 나타나는 경우 즉시 신고
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1059.001 PowerShell | cmd.exe로 초기 접근 후 더 강력한 PowerShell 스크립트를 실행하여 고급 공격을 수행할 때 |
| T1021 Remote Services | 명령 프롬프트를 통해 원격 서비스에 연결하여 다른 시스템으로 측면 이동할 때 |
| T1083 File and Directory Discovery | cmd.exe의 dir, tree 등의 명령으로 시스템을 정찰하고 중요 파일을 찾을 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.