안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

명령줄 및 파워쉘 실행 탐지

안랩 EPP V3 악성코드 경고 로그에서 파워쉘이나 VBA 스크립트 실행 시도를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Downloader/PS.Agent, Downloader/PowerShell.Agent.SC186725, VBA/Malma 등으로 명령줄 실행 시도를 탐지하므로, signature 값에 PowerShell.Agent. 문자열이 포함되어 있거나, VBA/* 로 문자열이 시작하거나, PS.Agent로 문자열이 끝나는 경고를 추출합니다.

| search in(signature, "*PS.Agent", "*PowerShell.Agent.*", "VBA/*")

메시지

  • 안랩 EPP V3 명령줄 및 파워쉘 실행 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • PowerShell 및 VBA 스크립트는 윈도우 환경에서 강력한 자동화 및 명령 실행 기능을 제공하므로, 공격자가 악성 스크립트를 통해 초기 페이로드 다운로드, 추가 악성코드 실행, 시스템 정보 수집 등을 수행할 때 자주 악용됩니다.
  • 특히 PowerShell은 메모리 기반 실행, 난독화, 로깅 회피 기능과 결합될 경우 탐지 난이도가 높아지며, VBA 매크로는 이메일 기반 스피어피싱 공격의 주요 도구로 사용됩니다.
  • 이러한 스크립트 실행이 탐지되면 사용자가 실행 의도를 모르는 상태에서 악성 문서나 스크립트가 동작했을 가능성을 의미하므로 즉각적인 확인이 필요합니다.

오탐 유형

  • IT 운영팀이 관리 스크립트, 자동화 작업, 소프트웨어 배포 목적으로 PowerShell을 사용하는 경우 탐지가 발생할 수 있습니다.
  • Excel·Word 매크로를 사용하는 내부 업무 문서(VBA 기반)에서 정상 동작이 오탐으로 탐지될 가능성도 있습니다.

대응 방안

  • 탐지된 스크립트 파일이 정상적인 파일인지 사용자 및 운영팀에 확인하고, 스크립트 내용 및 실행 경로를 검토합니다.
  • 악성 파일인 경우, 해당 단말의 다운로드 활동, 프로세스 트리 등을 분석해 악성코드 유입 경로를 분석합니다.
  • 스피어피싱 가능성을 고려해 이메일 첨부파일 및 관련 발신자 정보를 확인하고, 필요 시 단말을 격리합니다.
  • 조직 내 PowerShell 실행 정책(Constrained Language Mode), 매크로 보안 정책, AMSI 적용 여부 등을 점검하고 보안 구성을 강화합니다.

MITRE ATT&CK