cd ../blog
MITRE

AutoHotkey 악성코드: 자동화 도구가 공격 무기가 되는 원리 | T1059.010

읽는 시간 약 8분
조회수 9
MITRE ATT&CK악성코드 분석Windows 보안공격 기법위협 대응

AutoHotkey와 AutoIT을 악용한 악성코드 공격 기법 T1059.010을 심층 분석합니다. DarkGate, APT39 등 실제 사례와 탐지 우회 원리, 즉시 실행 가능한 방어 전략을 제시합니다.

share:
AutoHotkey 악성코드: 자동화 도구가 공격 무기가 되는 원리 | T1059.010

MITRE ATT&CK: T1059.010 (AutoHotKey & AutoIT) | 전술: Execution | 플랫폼: Windows

도입: 왜 이 공격이 중요한가

2018년 FortiGuard Labs가 발견한 DarkGate 캠페인은 보안업계에 충격을 주었습니다. 토렌트 파일을 통해 유포된 이 악성코드는 AutoIt 스크립트를 이용해 여러 백신 제품의 탐지를 우회하며, 암호화폐 채굴부터 랜섬웨어까지 다양한 공격을 수행했기 때문입니다. 더욱 놀라운 것은 이 모든 것이 단순한 자동화 도구를 통해 이루어졌다는 사실입니다.

AutoHotKeyAutoIT 은 원래 Windows 작업을 자동화하기 위해 만들어진 합법적인 스크립팅 언어입니다. 하지만 공격자들은 이들의 단순함과 강력함을 악용하여 악성 코드 실행, 키로거 설치, 피싱 공격 등을 수행하고 있습니다.

💡 쉬운 비유: 집안일을 도와주는 로봇이 있다고 상상해보세요. 원래는 청소나 요리를 돕기 위해 만들어졌지만, 누군가 이 로봇을 조작해 금고를 열거나 개인정보를 훔치도록 프로그래밍한다면 어떨까요? AutoHotKey와 AutoIT이 바로 그런 상황입니다.

1. 공격자 관점

왜 이 기법을 사용하는가

  • 합법적 도구 악용: 정상적인 자동화 도구이므로 많은 보안 솔루션에서 기본적으로 허용됨
  • 스크립팅의 단순함: 복잡한 프로그래밍 지식 없이도 강력한 악성 기능 구현 가능
  • 실행 파일 컴파일: .ahk.au3 스크립트를 .exe 파일로 컴파일하여 배포 용이성 확보

동작 흐름

💡 쉬운 비유: 마치 트로이 목마처럼 겉보기에는 유용한 자동화 도구로 보이지만, 내부에는 악성 명령어들이 숨어있어 시스템을 조용히 장악하는 방식입니다.

2. 실제 공격 사례

📌 DarkGate - 암호화폐 채굴 및 랜섬웨어 캠페인 (2018년)

배경: FortiGuard Labs가 발견한 DarkGate 는 Windows 워크스테이션을 대상으로 한 정교한 멀웨어 캠페인이었습니다. 토렌트 파일을 통해 유포되며, 반응형 C&C 시스템의 지원을 받았습니다.

공격 과정:

  1. 사용자가 토렌트 파일을 다운로드하고 실행
  2. 숨겨진 디렉토리에 test.au3 와 같은 AutoIt 스크립트 설치
  3. 여러 백신 제품의 탐지를 우회하며 암호화폐 채굴, 암호화폐 탈취, 랜섬웨어, 원격 제어 등 다중 페이로드 실행

피해 규모: 전 세계 Windows 워크스테이션을 대상으로 광범위한 감염 발생

출처: Enter The DarkGate - New Cryptocurrency Mining and Ransomware Campaign

📌 APT39 - 이란 정부 지원 해킹 그룹 (2020년)

배경: 이란 정부의 지원을 받는 것으로 추정되는 APT39 (Chafer, Cadelspy, Remexi로도 알려짐)는 중동 지역의 정부 기관과 통신 회사를 주요 타겟으로 활동했습니다.

공격 과정:

  1. Microsoft Office 문서나 악성 링크를 통한 초기 침투
  2. 문서 내부에 AutoIt 악성코드 스크립트 임베딩
  3. 사용자가 문서를 열면 자동으로 AutoIt 스크립트 실행되어 시스템 장악

피해 규모: 중동 지역 정부 기관 및 통신 인프라 대상 장기간 정보 수집 활동

출처: FBI Public Intelligence Alert - APT39

📌 Lumma Stealer - 가짜 CAPTCHA 활용 정보 탈취 (2024년)

배경: Lumma Stealer 는 MaaS(Malware-as-a-Service) 모델로 운영되는 정보 탈취 악성코드로, 최근 가짜 CAPTCHA 인증을 활용한 새로운 전술을 도입했습니다.

공격 과정:

  1. 피싱 사이트에서 가짜 CAPTCHA 페이지 표시
  2. 사용자가 "인간임을 증명하세요"를 클릭하면 AutoIt 실행 파일 다운로드
  3. 다단계 파일리스 기법으로 최종 페이로드 전달하여 비밀번호, 브라우저 정보, 암호화폐 지갑 정보 탈취

피해 규모: 전 세계 다양한 지역과 업종에서 감염 급증, 개인정보 대량 탈취

출처: Unmasking Lumma Stealer: Analyzing Deceptive Tactics

🔍 Kimsuky - 한국 대상 AutoIt 악성코드 캠페인 (2024-2025년)

배경: 북한 연계 해킹 그룹 Kimsuky 가 한국 정부/군사/학술 기관을 대상으로 AutoIt 기반 악성코드를 지속적으로 배포하고 있습니다. 특히 RftRAT, Amadey 등의 악성코드를 AutoIt으로 컴파일하여 배포하는 방식이 2024년부터 활발히 관찰되었습니다.

공격 과정:

  1. 스피어피싱 이메일에 LNK 파일을 첨부하여 초기 침투
  2. LNK 파일 실행 시 PowerShell을 통해 외부 URL에서 AutoIt 악성코드 다운로드
  3. AutoIt 으로 컴파일된 RftRAT 또는 Amadey를 배포하여 장기 원격 제어 확보
  4. 2025년 12월에는 LNK 기반 공격이 가장 높은 비율을 기록

핵심: 정상 자동화 도구(AutoIt)를 악용하고, LNK 파일을 초기 진입점으로 사용하여 탐지를 회피하는 다단계 공격 체인.

출처: AhnLab ASEC - Kimsuky AutoIt 악성코드 분석, ASEC - 2025년 12월 APT 공격 동향

🔍 Snake Keylogger AutoIt 변종 - 2.8억 건 차단 (2025년)

배경: 2025년 2월 FortiGuard Labs가 발견한 Snake Keylogger 의 새로운 변종은 AutoIt 컴파일 바이너리를 사용하여 전 세계적으로 2억 8천만 건 이상 의 감염 시도가 차단되었습니다.

공격 과정:

  1. 피싱 이메일을 통해 AutoIt 컴파일 바이너리(AutoIt/Injector.GTY!tr) 배포
  2. AutoIt 레이어가 난독화를 추가해 정적 분석과 샌드박스 탐지 회피
  3. 정상 .NET 프로세스(regsvcs.exe)에 프로세스 할로잉으로 페이로드 주입
  1. Chrome, Edge, Firefox 브라우저 자격증명 탈취 후 SMTP 및 Telegram 봇으로 유출

핵심: AutoIt 컴파일 바이너리가 추가하는 난독화 레이어 때문에 기존 시그니처 기반 탐지가 무력화됨.

출처: FortiGuard Labs - Snake Keylogger Variant

3. 왜 탐지가 어려운가?

공식 탐지 방법

  • DET0332 AutoHotKey & AutoIT 남용 탐지 전략: AutoHotKey 또는 AutoIT 인터프리터나 컴파일된 스크립트의 실행을 탐지하며, 비정상적인 프로세스 계보, 명령행 인수, 스크립트 생성 이벤트와 연관지어 분석합니다.

AutoIt 악성코드 급증 현황 (2024-2025)

2024년 8월부터 AutoIt 악성코드 배포가 급격히 증가했습니다. 2024년 12월에는 AutoIt 악성코드가 .NET 악성코드와 거의 동일한 수준 까지 도달했으며까지 도달했습니다. XLoader, SnakeKeylogger, RedLine, AgentTesla, RemcosRAT 등 주요 악성코드 패밀리들이 모두 AutoIt 패커를 사용하고 있습니다.

출처: AhnLab ASEC - AutoIt 악성코드 배포 증가

공격자가 이 기법을 선호하는 이유

  • 화이트리스트 우회: 대부분의 조직에서 AutoHotkey.exe와 AutoIt3.exe는 정상적인 자동화 도구로 인식되어 차단되지 않음
  • 스크립트 난독화 용이성: 스크립트 내용을 쉽게 암호화하거나 난독화하여 정적 분석 회피 가능
  • 실행 파일 컴파일: 스크립트를 독립 실행형 .exe 파일로 컴파일하여 스크립트 엔진 의존성 제거

탐지의 현실적 한계

공식 탐지 방법이 존재하지만, 실제 환경에서는 여러 한계가 있습니다. 정상적인 자동화 작업과 악성 활동을 구분하기 어려워 오탐률이 높고, 많은 조직에서 업무 자동화를 위해 이들 도구를 정당하게 사용하고 있어 전면 차단이 불가능합니다. 또한 컴파일된 실행 파일의 경우 내부 스크립트 내용을 사전에 분석하기 어려운 문제도 있습니다.

4. 나도 위험할까? 자가 진단

이 공격이 나와 관련 있는지 확인해보세요.

이런 환경이라면 주의가 필요합니다

  • 업무상 토렌트나 P2P 파일 공유 사이트를 이용하는 경우
  • 이메일 첨부파일로 받은 Office 문서를 자주 열어보는 경우
  • 웹사이트에서 "CAPTCHA 인증"이나 "로봇이 아님을 증명" 버튼을 클릭하라는 요청을 받은 경우
  • 회사에서 업무 자동화를 위해 AutoHotKey나 AutoIT 도구를 사용하는 경우

공식 대응 방안

  • M1038 실행 방지: 특정 시스템이나 네트워크에서 필요하지 않은 AutoIt3.exe, AutoHotkey.exe 및 관련 기능들의 실행을 방지하기 위해 애플리케이션 제어를 사용하여 공격자의 잠재적 오남용을 방지합니다.

당장 할 수 있는 것

  • 불필요한 경우 AutoHotKey, AutoIT 프로그램 설치 및 실행 차단하기
  • 이메일 첨부파일이나 웹 다운로드 파일 실행 전 백신 검사 필수 실행하기
  • 가짜 CAPTCHA나 의심스러운 "인증" 요청 시 즉시 페이지 종료하기
  • 이상한 점 발견 시 전문가에게 문의하거나 관련 기관에 신고하기

5. 관련 기술 (내부 링크 포함)

기법어떤 상황에서 함께 사용되는링크
T1566 PhishingAutoIT 스크립트가 포함된 악성 Office 문서를 피싱 이메일로 전송하여 초기 침투를 시도할 때MITRE 참고
T1059.001 PowerShellLNK 파일에서 PowerShell을 통해 AutoIt 악성코드를 다운로드하는 다단계 공격 체인에서T1059.001 상세 분석
T1055 Process InjectionAutoHotKey로 시스템에 접근한 후, 탐지를 피하기 위해 정상 프로세스에 악성 코드를 주입할 때MITRE 참고
T1547 Boot or Logon Autostart ExecutionAutoIT 스크립트로 시스템에 침투한 후, 재부팅에서도 지속성을 유지하기 위해 자동 실행 항목을 등록할 때MITRE 참고

참고 자료

📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.

?뱛 ??湲€?€ [?ㅽ겕由쏀듃 ?ㅽ뻾(T1059) ?쒕━利?(/blog/t1059-command-and-scripting-interpreter)???쇰??낅땲??

COMMENTS (0)

댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.