<!--SEO_META_START title: Unix Shell 공격: APT41이 리눅스를 장악하는 방법 | T1059.004 description: APT41이 75개 기업을 공격할 때 사용한 Unix Shell 기법 분석. bash 한 줄로 서버를 장악하는 원리와 리눅스 탐지 방법을 확인하세요. keywords: T1059.004, Unix Shell, MITRE ATT&CK, APT41, 리눅스 해킹, bash 공격 tags: MITRE ATT&CK, T1059.004, Linux 보안, Unix Shell SEO_META_END-->
MITRE ATT&CK: T1059.004 (Unix Shell) | 전술: Execution | 플랫폼: Linux, macOS, ESXi
도입: 왜 이 공격이 중요한가
2020년 초, APT41이라는 중국 해킹 그룹이 전 세계 75개 이상의 기업을 동시에 공격했습니다. 이들이 시스템에 침투한 후 가장 먼저 한 일은 바로 Unix Shell 명령어를 실행하는 것이었습니다. 단순한 ls, ps, whoami 같은 명령어로 시작해서 복잡한 스크립트 실행까지, Shell은 해커들에게 시스템을 완전히 제어할 수 있는 강력한 인터페이스를 제공했습니다.
Unix Shell은 Linux, macOS, ESXi 시스템에서 사용하는 명령줄 인터페이스로, 시스템의 모든 기능에 접근할 수 있는 강력한 도구입니다.
💡 쉬운 비유: Unix Shell은 컴퓨터와 대화할 수 있는 언어라고 생각하면 됩니다. 마우스 클릭 대신 명령어를 입력해서 파일을 복사하고, 프로그램을 실행하고, 네트워크에 연결하는 등 모든 작업을 할 수 있습니다.
1. 공격자 관점
왜 이 기법을 사용하는가
- 시스템 완전 제어: 파일 조작, 프로세스 관리, 네트워크 연결 등 시스템의 모든 기능에 접근 가능
- 스크립트 자동화: 복잡한 공격 과정을 스크립트로 작성해 반복 실행하여 효율성 극대화
- 은밀한 실행: 정상적인 시스템 명령어를 사용하므로 의심받지 않고 악의적 활동 수행 가능
동작 흐름
2. 실제 공격 사례
📌 APT41 - 글로벌 익스플로잇 캠페인 (2020년)
배경: 중국의 APT41 그룹이 2020년 1월부터 3월까지 전 세계 75개 이상의 조직을 대상으로 대규모 사이버 공격을 감행했습니다. 금융, 정부, 제조업, 통신업 등 다양한 산업 분야가 표적이 되었습니다.
공격 과정:
- Citrix NetScaler, Cisco 라우터, Zoho ManageEngine 취약점을 이용해 초기 침투
- 시스템 침투 후 Linux Shell 명령어로 시스템 정보 수집 및 환경 파악
- Shell 스크립트를 통해 추가 악성코드 다운로드 및 지속적 접근 권한 확보
피해 규모: 호주, 캐나다, 일본, 한국, 미국 등 20개국 이상의 기업들이 피해를 입었으며, 민감한 기업 정보와 고객 데이터가 대량 유출되었습니다.
출처: This Is Not a Test: APT41 Initiates Global Intrusion Campaign Using Multiple Exploits
📌 Lazarus Group - AppleJeus 작전 (2019년)
배경: 북한의 Lazarus 그룹이 암호화폐 거래소를 표적으로 한 정교한 공급망 공격을 실행했습니다. 'JMT Trader'라는 가짜 암호화폐 거래 소프트웨어를 배포하여 macOS 사용자들을 속였습니다.
공격 과정:
- 정상적인 암호화폐 거래 프로그램으로 위장한 AppleJeus 악성코드 배포
- 설치 후 Shell 스크립트가 자동 실행되어 시스템 정보 수집 및 백도어 설치
- 지속적인 Shell 명령어 실행을 통해 암호화폐 지갑 정보 및 거래 데이터 탈취
피해 규모: 초기에는 바이러스 탐지 엔진에서 0개 탐지로 완전히 우회했으며, 여러 암호화폐 거래소에서 수백만 달러 상당의 암호화폐가 도난당했습니다.
📌 Anchor 악성코드 - 크로스 플랫폼 공격 (2020년)
배경: TrickBot 악성코드 그룹이 개발한 Anchor 악성코드가 Windows에서 Linux로 확장되면서 Shell 스크립트를 활용한 다단계 공격이 관찰되었습니다. 주로 금융 기관과 정부 기관이 표적이 되었습니다.
공격 과정:
- 초기 감염 후 /etc/crontab에 자신을 등록하여 매 분마다 실행되도록 지속성 확보
- Shell 명령어를 통해 시스템 환경 분석 및 C2 서버와 DNS 기반 통신
- 동일 네트워크의 Windows 시스템으로 SMB를 통해 TrickBot 전파
피해 규모: 라우터, VPN 장비, NAS 등 Linux 기반 IoT 장비들까지 감염 대상이 되었으며, 여러 금융 기관에서 정보 유출 피해 발생
출처: Anchor_dns malware goes cross platform
3. 왜 탐지가 어려운가?
공식 탐지 방법
DET0384 Unix Shell 실행의 행위 기반 탐지: bash, sh, zsh, 또는 BusyBox shell이 원격 세션을 통해 실행되거나, 무단 사용자에 의해 실행되거나, 다른 스크립트 해석기 내에서 실행되는 것을 탐지합니다. 특히 Shell 실행 → 의심스러운 명령어 → 네트워크 탐색 또는 지속성 지표로 이어지는 연쇄 행동에 초점을 맞춥니다.
공격자가 이 기법을 선호하는 이유
- 정상 도구 악용: Shell은 시스템 관리를 위한 정상적인 도구이므로 사용 자체로는 의심받지 않음
- 무한한 유연성: 단순한 명령어부터 복잡한 스크립트까지 상황에 맞게 자유자재로 활용 가능
- 로그 우회: 많은 조직에서 Shell 명령어 로그를 상세히 기록하지 않아 공격 흔적 추적이 어려움
탐지의 현실적 한계
공식 탐지 방법이 존재하지만 실제 환경에서는 구현이 매우 어렵습니다. 정상적인 시스템 관리 작업과 악의적 활동을 구분하기 위해서는 모든 Shell 명령어를 실시간으로 분석해야 하는데, 이는 엄청난 컴퓨팅 자원과 전문 인력을 필요로 합니다. 또한 false positive 비율이 높아 실제 공격을 놓치거나 정상 업무를 방해할 위험이 큽니다.
4. 나도 위험할까? 자가 진단
이 공격이 나와 관련 있는지 확인해보세요.
이런 환경이라면 주의가 필요합니다
- Linux 또는 macOS 서버를 운영하고 있고, 외부에서 SSH 접속이 가능한 환경
- 암호화폐 거래나 금융 관련 업무를 하며 관련 소프트웨어를 자주 설치하는 경우
- 개발자나 시스템 관리자로서 정기적으로 Shell 스크립트를 실행하는 환경
- ESXi 가상화 서버를 운영하며 관리 인터페이스가 인터넷에 노출된 경우
공식 대응 방안
M1038 실행 방지: 적절한 애플리케이션 제어를 사용하세요. ESXi 호스트에서는 execInstalledOnly 기능을 통해 vSphere 설치 번들(VIB)의 일부로 패키지되고 서명된 바이너리만 실행되도록 제한할 수 있습니다.
당장 할 수 있는 것
- 출처가 불분명한 쉘 스크립트(.sh 파일)는 절대 실행하지 않기
- 터미널에서 이상한 명령어가 실행된 흔적 발견 시 전문가에게 문의하기
- 🏢 보안 담당자: 서버에서 모든 Shell 명령어 실행을 로그로 기록하고 주기적으로 검토하기
5. 관련 기술
| 기법 | 어떤 상황에서 함께 사용되나 |
|---|---|
| T1021.004 SSH | Shell 명령어를 원격으로 실행하기 위해 SSH 연결을 통해 시스템에 접근할 때 |
| T1053.003 Cron | Shell 스크립트를 정기적으로 실행하여 지속성을 확보하거나 주기적인 데이터 탈취를 수행할 때 |
| T1105 Ingress Tool Transfer | Shell 명령어를 사용해 추가 악성코드나 도구를 다운로드하고 실행할 때 |
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
?뱛 ??湲? [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.