<!--SEO_META_START title: 스크립트 기반 공격: 왜 모든 해커가 사용하는가 | T1059 description: PowerShell부터 Python, JavaScript까지 다양한 스크립트 실행 기법 총정리. 공격자가 스크립트를 선택하는 이유와 각 기법별 실제 APT 사례를 확인하세요. keywords: T1059, Command and Scripting Interpreter, MITRE ATT&CK, 스크립트 공격, PowerShell, Python 악성코드 tags: MITRE ATT&CK, T1059, 스크립트 공격 SEO_META_END-->
개요
MITRE ID: T1059 | 전술: Execution | 플랫폼: Windows, macOS, Linux, Network, Containers, IaaS
Command and Scripting Interpreter 는 공격자가 명령어나 스크립트를 실행하여 시스템을 제어하는 기법입니다. 대부분의 운영체제에는 기본적으로 명령줄 인터페이스나 스크립트 실행 환경이 포함되어 있으며, 공격자는 이러한 정상적인 도구들을 악용하여 자신의 목적을 달성합니다.
💡 쉬운 비유: 컴퓨터와 대화하는 '언어'를 악용하는 것과 같습니다. 정상적인 사용자는 파일을 복사하거나 프로그램을 실행하기 위해 이런 언어를 사용하지만, 공격자는 같은 언어로 악성 코드를 실행하거나 시스템을 조작합니다.
하위 기법 (Sub-techniques)
이 기법에는 다음과 같은 세부 기법들이 있습니다:
| ID | 이름 |
|---|---|
| T1059.001 | PowerShell |
| T1059.002 | AppleScript |
| T1059.003 | Windows Command Shell |
| T1059.004 | Unix Shell |
| T1059.005 | Visual Basic |
| T1059.006 | Python |
| T1059.007 | JavaScript |
| T1059.008 | Network Device CLI |
| T1059.009 | Cloud API |
| T1059.010 | AutoHotKey & AutoIT |
| T1059.011 | Lua |
| T1059.012 | Hypervisor CLI | | T1059.013 | Container CLI/API |
각 하위 기법의 상세 분석 은 개별 글에서 다룹니다.
대표 사례
📌 APT37 - InkySquid 작전
북한 연계 APT37 그룹은 Ruby 스크립트를 사용하여 RokRAT 백도어를 배포했습니다. 이들은 뉴스 포털을 침해하여 브라우저 취약점과 함께 스크립트 인터프리터를 악용해 지속적인 접근 권한을 확보했습니다.
출처: North Korean BLUELIGHT Special: InkySquid Deploys RokRAT
📌 APT32 - Operation Cobalt Kitty
베트남 연계 APT32 그룹은 COM scriptlets를 활용하여 Cobalt Strike 비컨을 다운로드했습니다. 이 공격에서는 정상적인 시스템 기능을 악용하여 탐지를 회피하면서 원격 명령 실행 능력을 확보했습니다.
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
愿???쒕툕 湲곕쾿
| 湲곕쾿 ID | 湲곕쾿紐? | ?ㅻ챸 |
|---|---|---|
| T1059.001 | PowerShell | Windows 愿由??ㅽ겕由쏀듃 ?낆슜 |
| T1059.002 | AppleScript | macOS ?먮룞???ㅽ겕由쏀듃 |
| T1059.003 | cmd.exe | Windows 紐낅졊 ?꾨\?꾪듃 |
| T1059.004 | Unix Shell | Bash/Sh ?ㅽ겕由쏀듃 |
| T1059.005 | VBA | Office 留ㅽ겕濡??낆꽦肄붾뱶 |
| T1059.006 | Python | ?щ줈?ㅽ뵆?ロ뤌 ?ㅽ겕由쏀듃 |
| T1059.007 | JavaScript | 釉뚮씪?곗?/Node.js ?낆슜 |
| T1059.008 | ?ㅽ듃?뚰겕 ?λ퉬 CLI | ?쇱슦???ㅼ쐞移?紐낅졊 |
| T1059.009 | Cloud API | ?대씪?곕뱶 ?쒕퉬??API |
| T1059.010 | AutoHotkey/AutoIt | Windows ?먮룞???꾧뎄 |
| T1059.011 | Lua | 寃뚯엫/?꾨쿋?붾뱶 ?ㅽ겕由쏀듃 |
| T1059.012 | Hypervisor CLI | ESXi/VMware 紐낅졊 |
| T1059.013 | Container CLI | Docker/K8s 紐낅졊 |
?뱰 MITRE ATT&CK??泥섏쓬?댁떊媛?? MITRE ATT&CK ?꾨젅?꾩썙???꾨꼍 媛?대뱶?먯꽌 湲곕낯 媛쒕뀗??癒쇱? ?뺤씤?섏꽭??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.