Metasploit(msfvenom) 쉘코드 디코딩
몇 년 전부터 파워쉘을 이용한 악성코드가 증가하고 있다. 대표적인 파워쉘 악성코드는 PowerWorm, PoshCoder, Poweliks 등이다. 해당 악성코드는 윈도우 운영체제에 기본적으로 활성화 되어 있는 파워쉘의 기능을 악용해 사용자의 시스템에 피해를 주는 악성코드이다. 작년 발견된 DDE 취약점을 이용한 공격 코드를 보면 파워쉘이 적용되어 있다. 본 보고서는 파워쉘의 모든 기능을 다루지 않고, 파워쉘이 적용된 코드를 디코딩하는 방법을 살펴본다. powershell_reverse_tcp msfvenom 명령어로 base64 인코딩한 powershell_reverse_tcp 페이로드이다. 페이로드를 보면 base64 인코딩 되어 있는 코드를 GzipStream()으로 압축하고 있다. ○ msfven..