Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

파워셸

'시간을 절약하는 마법' 윈도우 서버에서 파워셸 활용하기

파워셸(PowerShell)의 Get-WindowsFeature 명령(또는 더 정확히 말해 cmdlet)은 윈도우를 실행하는 서버 또는 워크스테이션에 설치된 서버 역할을 포함한 윈도우 기능 목록을 불러오는, 서버 관리자에게 요긴한 툴이다. 이 명령에 대해 잘 알아두면 활용도를 높이고 파워셸 명령에 대한 폭넓은 지식을 통해 윈도우 서버를 더 효율적으로 관리할 수 있다.    기본적으로 Get-WindowsFeature cmdlet의 출력은 설치 상태에 따라 개별 기능의 확인란이 선택 또는 해제된 계층적 보기를 제공한다. 하나의 서버를 신속하게 살펴보면서 어떤 기능을 제공하는지 알아볼 때 유용하지만, 목록에 최대 250개의 역할과 기능이 포함될 수 있으므로 특정 기능을 찾거나 한 번에 여러 서버를 인벤토리화하려는 경우에는 실용성이 떨어진다.    다행히 Get-WindowsFeature는 특정 기능 집합에 손쉽게 초점을 맞출 방법을 제공한다. 이 cmdlet 바로 뒤에 입력하는 모든 텍스트(파워셸 용어로는 매개변수)는 기능 이름을 검색하는 데 사용되며, 역할과 기능 목록을 필터링한다.  예를 들어 Get-WindowsFeature Hyper-V는 목록에서 하이퍼-V 서버 역할을 반환하고, 역할이 설치되어 있는지 또는 설치가 가능한지를 알려준다. 모든 하이퍼-V 관련 기능을 찾고 싶다면 Get-WindowsFeature Hyper-V*와 같이 별표를 붙여 와일드카드 검색을 하면 된다.    원격 서버 및 오프라인 VM 인벤토리화  GetWindowsFeature의 용도를 대략적으로 보려면 Get-Help에서 GetWindowsFeature를 첫 번째 매개변수로 사용하면 된다. 출력에서 GetWindowsFeature가 수행하는 작업, 사용 구문, 사용 가능한 매개변수를 볼 수 있다. 다음과 같이 -Examples 스위치를 추가할 수도 있다.    Get-Help Get...

파워셸 2021.11.08

윈도우 네트워크에 숨은 악성코드 퇴치법

윈도우 시스템에 있는 서비스 이름을 나열하면, 진짜 서비스와 가짜를 구별할 수 있을까? 공격자는 종종 악성 코드를 포함하고 있지만 진짜 윈도우 서비스가 작동하는 것처럼 보이도록 고안한 가짜 서비스를 사용한다. 윈도우 업데이트가 진짜 윈도우 업데이트일까? 혹은 악성 코드를 컴퓨터에서 “윈도우 업데이트”라고 하는 걸까? 시간을 내어 네트워크의 컴퓨터에서 어떤 서비스와 프로세스가 정상인지 확인해 본 적은 있는가?     윈도우 서비스의 기준 만들기 확인한 적이 없다면, 네트워크에 어떤 서비스가 있어야 하는지 보여주는 기준을 만들어야 한다. 파워셸 get-service는 시스템에서 실행 중인 서비스 목록을 가져오는 빠르고 간편한 방법이다.    시스템 기준을 정할 땐, 기본부터 시작하자. 시스템에서 어떤 서비스가 실행 중일 것이라 예상하는가? 특히 서버 시스템에 새로운 서비스가 추가될 때 경보를 위해 공들여 모니터링 서비스를 추가한 적이 있는가? 워크스테이션은 새로운 서비스를 불규칙적으로 추가할 수 있지만, 서버의 서비스는 자주 변경되지 않는다. 서비스와 중요 루트 디렉토리의 변경 사항에 대해 서버를 모니터링하는 것은 고려해봐야 할 보안 프로세스이다. 예를 들어 시스템 모니터(Sysmon)를 서버에 추가해 시스템의 변경 사항을 모니터할 수 있다.    악성 코드를 숨기는 전술에 대한 방어 과거에는 악성 소프트웨어가 대상 시스템에 숨으려고 너무 열심히 노력할 필요가 없었다. 서비스와 드라이버로 들어가 일반 서비스처럼 보이곤 했다. 그러나 시스템이 강화됨에 따라, 공격자는 시스템에 악성코드를 숨기려면 더 복잡한 작업을 해야 한다.  악성 소프트웨어는 암호화, 압축, 인코딩 등 수많은 방법을 동원해 시스템에 숨고 발각되지 않을 수 있다. 이제 백신은 파일명, 서비스명, 유형보다 의심스러운 행동을 더 많이 탐색한다. 예를 들어 애플리케이션이 기밀이 포함될 가능성이 높은 파일에 갑자기 접근하기 시작하면, ...

악성코드 파워셸 공격표면 2020.02.14

크립토마이너와 파일리스 파워셸 기법의 위험한 조합

암호화폐 마이닝 악성코드(크립토마이너)는 랜섬웨어와 함께 기업 시스템을 노리는 가장 일반적인 위협 가운데 하나다. 크립토마이너 역시 랜섬웨어와 마찬가지로 몇 년 동안 진화하면서 과거에는 APT에 사용됐던 파일리스 실행, 런타임 컴파일, 반사 코드 주입과 같은 공격 벡터와 기술을 수용했다.   보안업체 딥 인스팅트(Deep Instinct)의 연구진은 최근 아시아의 항공 관련 대기업 시스템에서 크립토마이너 감염 사례를 발견했다. 이 공격은 새로운 모네로(Monero) 암호화폐 마이너와 파워셸, 반사 PE 주입, 런타임 코드 컴파일, 그리고 익명성을 위한 토르(Tor)를 사용했다. 악성코드는 인코딩된 파워셸 스크립트로, 시스템 설정 시 실행되는 예약된 작업을 설정하고 또 다른 인코딩된 파워셸 명령을 실행했다. 두 번째 페이로드는 파워셸 기반 익스플로잇 프레임워크인 파워스플로잇(PowerSploit)과 파워셸 엠파이어(PowerShell Empire)의 Invoke-ReflectivePEInjection이라는 모듈을 사용해 레지스트리에 저장된 코드를 추출해 자체 실행 프로세스에 주입했다. 딥 인스팅트 연구원들은 새로 발표한 보고서에서 “런타임 컴파일은 새로운 수법은 아니지만 파일리스 공격의 인기가 높아지면서 점차 확산되고 있으며, 파워셸의 일부 보호 메커니즘을 우회하는 등 공격자에게 유리한 역할을 한다”고 설명했다. 악성코드를 디스크의 파일이 아닌 레지스트리 내에 저장한 다음 정상 프로세스의 메모리에 직접 주입하는 방식은 APT 공격에서 안티바이러스의 감지를 회피하기 위해 처음 사용된 수법이다. 이러한 파일리스 실행 기법은 현재 랜섬웨어를 포함한 다양한 악성코드 위협에서 흔히 사용된다. 이 사례의 경우 시스템 레지스트리 내에 저장된 코드는 모네로 마이닝 프로그램을 구현하는 두 개의 .DLL 파일(32비트 시스템용과 64비트 시스템용)로 구성된다. 크립토마이너는 로드되면 마이닝 풀의 실제 위치를 숨기기 위한 익명 프록시 역할을 하는 일련의 토어 노...

악성코드 인스팅트 파일리스 2019.12.17

새로운 윈도우 서버 관리 GUI 프로젝트 호놀룰루의 이해

필자는 윈도우 관리 분야에 종사하는 사람에게는 파워셸(PowerShell) 지식이 필수라고 확신하고 있다. 이 점은 마이크로소프트가 상당히 많은 시간과 에너지를 파워셸 명령어로 수행할 수 있는 대상 영역을 확장하는데 쏟아 부었기 때문에 지난 3~4년 간은 더더욱 그랬다. 필자는 지난 몇 년 동안 파워셸을 사용해오고 있으며, 너무 많이 사용해서 초보자들이 파워셸을 배우는데 도움이 되는 책까지 쓸 정도였다. 파워셸의 적용 분야가 확장되었기 때문에 마이크로소프트는 윈도우 환경을 관리하기 위한 MMC(Microsoft Management Console)과 다른 GUI 툴들이 조금은 노후하게 방치해 두었다. 그렇지만 파워셸이 늘 최고의 도구는 아니며, 마이크로소프트에 따르면, IT 관리자들은 GUI 도구가 여전히 윈도우 관리의 핵심이라고 주장한다. 결국, 명령 줄을 사용하고 싶다면, 리눅스를 사용하면 된다. 원래 포인트 앤 클릭이 윈도우다운 것이다. 이런 사용자들에게 마이크로소프트는 말한다. “두려워 말라. 우리는 이제 그대들이 잘 알 고 있는 내장된 GUI 도구보다 더 뛰어난 무언가를 가지고 있다. 마이크로소프트 윈도우 서버 관리를 위한 새로운 웹 기반 GUI 도구, 코드명 프로젝트 호놀룰루(Project Honolulu)를 영접하라.” 현재 테크니컬 프리뷰 단계인 프로젝트 호놀룰루는 윈도우 서버 2012, 2012 R2, 2016 그리고 향우 버전 모두를 웹 브라우저를 통해서 관리할 수 있다. 현재는 마이크로소프트 에지와 구글 크롬을 지원한다. 무료인 마이크로소프트 하이퍼-V 서버까지 다룰 수 있어서 하이퍼-V 서버의 아리송한 명령줄 인터페이스를 사용하려 애쓰지 않고도 모든 기능을 갖춘 윈도우 서버가 필요하지 않은 환경에서 무료 하이퍼바이저를 쉽게 배포할 수 있다. 호놀룰루가 어떻게 동작하는지, 어떻게 만들어졌는지, 무엇을 할 수 있는지, 그리고 아마도 가장 중요한 것으로, 호놀룰루가 지원하지 않는 것은 무엇인지를 ...

파워셸 호놀룰루 서버관리자. GUI 2017.11.08

윈도우 10 S, 리눅스 포함한 명령어 앱 실행 차단…”기능보다 안전”

만약 윈도우 10 S가 마이크로소프트 스토어에서 다운로드한 앱만을 구동할 수 있다면, 윈도우 스토어를 통해 다운로드할 수 있는 리눅스 배포판도 실행할 수 있을까? 마이크로소프트는 올해 빌드 컨퍼런스에서 우분투와 페도라 등의 리눅스 배포판을 윈도우 스토어 앱으로 제공하기 위해 협력하고 있다고 밝힌 바 있다. 하지만 대답은 ‘아니오’이다. 마이크로소프트의 수석 프로그램 관리자 리치 터너가 블로그에 올린 글에 따르면, 이유는 마이크로소프트가 ‘명령어’ 애플리케이션이 윈도우 10 S의 안전한 환경 밖에서 구동되는 것을 적극적으로 막고 있기 때문이다. 마이크로소프트는 윈도우 10 S를 학생은 물론 주류 사용자가 좀 더 안전한 윈도우 10 사용자 경험을 얻을 수 있도록 하기 위해 만들었다고 밝혔다. 윈도우 10 S는 마이크로소프트가 검사해 윈도우 스토어에 올린 앱만을 실행할 수 있다. 하지만 모든 윈도우 스토어 앱을 사용할 수 있는 것은 아니다. 마이크로소프트가 명시적으로 밝히지는 않았지만, 윈도우 10 S용 앱은 디버거처럼 사용자 PC의 낮은 수준에서는 실행할 수 없으며, 하드웨어에 뭔가를 기록하거나 시스템 레지스트리를 수정하지는 못한다. 하지만 리눅스는 바로 이렇게 한다. 또한 터너의 말에 따르면, 이런 앱은 이런 종류의 앱과 작업이 실행되는 것을 막기 위해 일부러 제한을 가한 운영체제, 즉 윈도우 스토어를 통해 제공되는 리눅스 배포판에서는 구동되지 않는다. 이들 앱은 전통적인 윈도우 10 UWP 앱처럼 설치되지만, 동작은 마치 UWP 샌드박스나 안전한 런타인 인프라 외부에서 실행되는 명령어줄 툴처럼 동작한다는 것이 터너의 설명이다. 그리고 이런 앱은 리눅스만이 아니다. 윈도우 10 S에서 구동되지 않는 다른 낮은 수준의 앱은 윈도우 콘솔, cmd/파워셸, 리눅스/배시 등 무수히 많다. 다행히 윈도우 10 S에는 윈도우 10 프로로 업그레이드할 수 있는 방법이 내장되어 있다. 만약 신형 서피스 랩톱...

리눅스 명령어 파워셸 2017.05.22

“악성코드 없는 공격” 2016년 랜섬웨어 만만치 않은 보안 위협으로...

보안 전문가들이 실제 악성코드에 의존하지 않는 공격 활동에 주목해야 할 필요가 생겼다. 카본 블랙(Carbon Black)이 내놓은 최신 보고서에 따르면, 지난 1월부터 11월까지 악성코드 감염 없이 정상적으로 시스템에서 작동되고 있는 애플리케이션이나 프로세스를 악용하는 공격의 비율이 3%에서 11%로 증가했다. 이 보고서는 “2016년 악성코드 없는 공격과 랜섬웨어가 보안 공격의 중심을 차지했다”라면서 “악성코드가 없는 공격은 역대 최고 많은 비율이었으며, 내년에는 이 공격을 방어하는 데 초점을 맞춰야 할 것”이라고 전했다. 250만 개 이상의 엔드포인트가 포함된 1,000곳 이상의 카본 블랙 고객으로부터 받은 데이터가 보고서의 조사 대상이다. 연구원들은 악성코드가 탐지되는 것을 우회하기 위해 파워셸(PowerShell)과 WMI(Windows Management Instrumentation)을 악용했을 가능성이 있다고 설명했다. 악성코드가 없는 공격은 일반적으로 악성 파일을 추가로 다운로드할 것을 요구하지 않으며, 데이터 탈취, 인증 탈취, IT 환경 염탐 등 상당히 악의적인 행위가 시행될 수 있다. 예를 들어, 2016년 초 카본블랙은 파워웨어를 이용해 랜섬웨어 공격을 한 파워셸 공격 사례를 발견했다. 파워셸은 보통 경고가 울리지 않는 정상적인 윈도우 유틸리티이기 때문에, 이것을 이용하면 눈에 띄지 않는 공격이 가능하다. 같은 이유로 WMI도 이러한 공격에 활용된다. 카본 블랙 보고서는 이런 종류의 공격 중에서 ‘심각한 악성코드 없는 공격’을 분류했는데, 이런 공격이 4분기 현재 1분기에 비해 33% 증가했다고 전했다. 그리고 앞으로 90일 사이에 기업 중 3분의 1이 이 공격을 받게 될 것이라고도 전했다. 이 보고서는 “심각함”을 파워셸에 의심스러운 명령줄을 추가하고 코드를 바로 실행하는 공격이라고 정의했다. 이런 공격은 셸코드를 ...

악성코드 공격 랜섬웨어 2016.12.16

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.