PowerShellRunBox

최근 파워쉘은 엔터프라이즈 환경에서 가장 많이 사용되는 Living-Off-The-Land 방법이 되고 있습니다. 파워쉘은 소스 코드가 노출 되는 단점이 있어서 공격자들은 최대한 복잡한 난독화 기법을 적용하는 경우가 많습니다. PowerShellRunBox 은 파워쉘 동적 분석 프레임워크로서 윈도우즈 파워쉘 디버깅 기능을 사용합니다. 일반 디버거와 마찬가지로 명령들을 스텝하면서 파워쉘 명령들의 난독화 해독 과정을 관찰하거나 환경 변수 등을 체크하여 행위 분석을 방해하는 작은 행동들을 모니터링할 수 있습니다. 이러한 기능을 통해서 전반적인 파워쉘 분석 과정을 효율화 할 수 있습니다.

실제 이모텟 말웨어에 대해서 적용된 예제는 다음 아티클을 참고 하시기 바랍니다.

• PowerShellRunBox: Analyzing PowerShell Threats Using PowerShell Debugging