{ "id": "3f9fc50f-06a3-4e71-8eea-3902bafddded", "created_at": "2026-04-06T00:12:43.444841Z", "updated_at": "2026-04-10T13:12:45.945322Z", "deleted_at": null, "sha1_hash": "c841f7990ca05b306eef5c9edf1fbcb344abbea6", "title": "메타스플로잇 미터프리터를 이용한 공격 사례 - ASEC", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 748838, "plain_text": "메타스플로잇 미터프리터를 이용한 공격 사례 - ASEC\r\nBy ATCP\r\nPublished: 2021-09-02 · Archived: 2026-04-05 15:08:25 UTC\r\n메타스플로잇(Metasploit)은 침투 테스트 목적의 프레임워크이다. 기업이나 기관의 네트워크 및 시스템에\r\n대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구로서 침투 테스트 단계별로 다양한 기능들\r\n을 지원한다. 메타스플로잇은 코발트 스트라이크처럼 최초 감염을 위한 다양한 형태의 페이로드 생성부\r\n터 계정 정보 탈취, 내부망 이동을 거쳐 시스템 장악까지 단계별로 필요한 기능들을 제공한다.\r\n코발트 스트라이크는 상용 프로그램이지만 크랙 버전이 유출되어 공격자들에 의해 자주 사용되고 있으\r\n며, 메타스플로잇은 기본적으로 공개된 오픈 소스임에 따라 손쉽게 사용이 가능하다. 여기에서는 메타스\r\n플로잇 미터프리터가 공격에 사용된 실제 사례를 다룬다.\r\n메타스플로잇 미터프리터\r\n코발트 스트라이크는 감염 PC에서 백도어로 동작하는 실질적인 악성코드인 비컨(Beacon)이 제공되며, 이\r\n러한 비컨을 설치하는 방식에 따라 Staged / Stageless 방식으로 나뉠 수 있었다. Staged 방식으로 빌드할 경\r\n우 다운로더 기능을 갖는 파워쉘이나 작은 쉘코드가 생성되는데, 공격자는 이러한 작은 크기를 갖는 스테\r\n이저(Stager)를 다양한 방식으로 유포할 수 있다. 감염 PC에서 스테이저가 실행되면 C\u0026C 서버로부터 실제\r\n메인 악성코드인 비컨을 메모리 상에 다운로드 받아 실행한다. Stageless 방식은 반대로 비컨이 포함된 바\r\n이너리가 생성된다. 그렇기 때문에 추가적으로 비컨을 다운로드 받는 단계 없이 바로 C\u0026C 서버와 통신할\r\n수 있다.\r\n메타스플로잇도 코발트 스트라이크에서 제공하는 비컨과 유사하게 실제 악성 행위를 담당하는 백도어를\r\n제공하는데 이를 미터프리터(Meterpreter)라고 한다. 미터프리터도 비컨처럼 Staged / Stageless 방식으로 생\r\n성이 가능하다. 즉 코발트 스트라이크와 메타스플로잇은 모두 침투 테스트 도구로서 감염 PC를 제어하고\r\n정보를 탈취하는데 사용될 수 있다.\r\n아래에서 다룰 두가지 사례는 모두 스테이저 방식이 사용되는데, 이는 유포 파일 자체에 미터프리터가 포\r\n함된 형태 대신 쉘코드가 포함되어 미터프리터를 포함한 백도어를 다운로드하는 구조이다. 참고로 아래\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 1 of 8\n\n의 쉘코드는 두번째 예시에서 사용되는 파워쉘 형태의 스테이저에 포함된 쉘코드로서\r\n122.165.141[.]2:8888 주소에 접속하여 Meterpreter를 다운로드 받는다.\r\n구체적으로 설명하면 다운로드되는 파일은 Meterpreter의 기본 백도어인 metsrv.dll이다. metsrv.dll은 아래\r\n와 같이 Reflective DLL 인젝션 방식으로 실행될 수 있게 제작되는데, 이러한 방식의 특징이라고 한다면 시\r\n작 주소 즉 MZ로 시작하는 부분이 코드로 동작할 수 있다. 즉 MZ를 거쳐 DLL 자신을 새롭게 메모리 상에\r\n로드하는 코드가 실행되며, 로드가 완료되면 즉 Reflective DLL 인젝션 방식이 완료되면 제어를 넘겨\r\nmetsrv.dll의 실제 코드가 실행된다. 참고로 미터프리터는 기능에 따라 모듈화되어 있는데, 기본적인\r\nmetsrv.dll 외에도 권한 상승이나 추가 작업들을 위한 다양한 확장 DLL들을 지원한다.\r\nKimsuky 그룹\r\n메타스플로잇의 미터프리터는 Kimsuky 그룹에서도 사용되고 있다. ASEC 분석팀에서는 메타스플로잇 악\r\n성코드를 모니터링하던 중 rundll32.exe 프로세스에서 미터프리터가 동작하는 것을 확인하였다. 실제 악성\r\n코드는 64비트 DLL이며 이것이 regsvr32.exe 프로세스에 의해 로드되어 실행된다. 이후 rundll32.exe를 실\r\n행하고 스테이저 쉘코드를 인젝션함에 따라 정상 프로그램인 rundll32.exe에서 미터프리터가 동작하는 것\r\n이다.\r\n인젝션된 쉘코드는 79.133.41[.]237:4001 주소에서 미터프리터를 메모리 상에 다운로드 받아 실행한다. 다\r\n음은 메타스플로잇 C\u0026C 서버에서 다운로드되는 미터프리터 DLL로서 위의 메모리 영역에서 확인되는 바\r\n이너리와 유사하다.\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 2 of 8\n\n실제 다운로드되는 바이너리도 오픈 소스 미터프리터의 소스 코드와 동일한 것을 확인할 수 있다.\r\n안랩에서는 클라우드 기반의 ASD(Ahnlab Smart Defense) 인프라가 존재하여 다양한 악성코드들을 실시간\r\n으로 수집 및 분석하고 있으며 악성코드들이 보유하고 있는 악성 DNA만을 추출 및 패턴화하여 진단에 이\r\n용하고 있다. 현재 ASD에 존재하는 DNA 패턴들에 따르면 해당 악성코드와 유사한 파일들이 과거부터 다\r\n수 존재하고 있다.\r\n외형적으로 유사한 파일들 중에서 외부에 공개된 것들만 보더라도, 악성코드들의 C\u0026C 서버 주소가 모두\r\nKimsuky 그룹과 관련된 IP 주소로 확인된다. 과거 샘플들은 현재 미터프리터 다운로드가 불가하지만 64비\r\n트 DLL 형태라던지 코드의 외형적인 특징 외에도 regsvr32.exe에 실행되면서 정상 프로그램인 rundll32.exe\r\n를 실행하고 메타스플로잇 스테이저를 인젝션하는 행위 등 거의 동일한 형태이다. 그리고 모두 미터프리\r\n터의 x64 Reverse TCP Stager 방식이 사용되었다.\r\n추가 파일 1]\r\n– MD5 : 7f4624a8eb740653e2242993ee9e0997\r\n– C\u0026C : 27.102.127[.]240:3001\r\n– 수집일 : 2021.03.18\r\n추가 파일 2]\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 3 of 8\n\n– MD5 : d4da4660836d61db95dd91936e7cfa4a\r\n– C\u0026C : 27.102.127[.]240:3001\r\n– 수집일 : 2021.05.22\r\n추가 파일 3]\r\n– MD5 : d5ad5ffde477e3bc154a17b4d74f401b\r\n– C\u0026C : 31.172.80[.]104:3001\r\n– 수집일 : 2021.05.21\r\n다음은 스테이저 쉘코드를 rundll32.exe에 인젝션하는 루틴인데, 디코딩 방식이 최근 Kimsuky 그룹에서 사\r\n용되는 또 다른 백도어 악성코드인 AppleSeed의 디코딩 방식과 동일하는 것도 특징이다.\r\n과거부터 Kimsuky 그룹은 다양한 형태의 백도어 악성코드를 사용하고 있으며, 최근에는 오픈 소스인 메타\r\n스플로잇 프레임워크의 미터프리터 백도어를 이용하고 있는 것이 확인된다. 공격자는 메타스플로잇에서\r\n침투 단계 별로 제공하는 다양한 기능들을 이용해 사용자의 정보를 탈취하고 악의적인 명령을 전달할 수\r\n있다.\r\n코인 마이너와 함께 설치되는 미터프리터\r\n이외에도 코인마이너 악성코드와 함께 유포되는 사례도 확인된다. 최초 유입 경로 즉 공격자가 처음에 어\r\n떠한 방식으로 시스템에 접근하여 명령을 전달했는지와 관련된 정보는 확인되지 않지만, 다운로드 경로\r\n에서 확인되는 다수의 파일들을 통해 일정 단계 이후부터의 행위는 확인이 가능하다.\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 4 of 8\n\n1) 마이너 설치\r\n다운로드 가능한 배치 파일들 중 brgolbat2.bat, golbat.bat, golbat2.bat는 모두 유사한 형태이며 가장 항목이\r\n많은 golbat.bat 파일을 분석 대상으로 한다. 해당 bat 파일은 파워쉘을 이용해 다수의 파일들을 다운로드하\r\n고 설치한다.\r\n먼저 defender.reg 파일을 다운로드 받아 C:\\Windows\\System32\\ 경로를 예외 경로에 등록한 후 XMRig 마이\r\n너 설치를 진행한다. 설치되는 파일은 XMRig 뿐만 아니라 마이닝 풀 주소가 포함되어 있는 설정 파이인\r\nconfig.json 그리고 XMRig의 성능 향상을 위한 보조 도구인 WinRing0x64.sys 드라이버 파일 등이 있다.\r\nXMRig 마이너는 이후 작업 스케줄러에 등록되어 주기적으로 실행된다.\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 5 of 8\n\n2) 미터프리터 설치\r\n최초 유포 방식은 확인되지 않았지만 공격자는 위에서 다룬 코인 마이너 설치 파일과 함께 batty.bat 파일을\r\n실행했을 것으로 추정된다. Batty.bat은 크게 윈도우 디펜더 예외 처리, 현재 시스템의 기본 정보 스캐닝, 이\r\n후 접속을 위한 RDP 사용자 등록 그리고 메타스플로잇의 미터프리터 즉 백도어 설치 기능을 담당한다.\r\n가장 먼저 아래와 같은 명령을 이용해 cli 라는 이름의 계정을 등록한 후 관리자 및 RDP 접속을 위한 그룹\r\n에 등록한다.\r\n\u003e net user cli 83ys44b /add\r\n\u003e net localgroup administrators cli /add\r\n\u003e net localgroup \"Remote Desktop Users\" cli /add\r\n이후 다운로드된 user.reg을 이용해 앞에서 생성한 계정을 SpecialAccounts 레지스트리 키에 등록시킨다. 만\r\n약 계정이 아래와 같이 SpecialAccounts 키에 등록될 경우 로그인 시 추가된 계정이 보이지 않기 때문에 사\r\n용자는 계정이 추가되었는지 여부를 알 수 없게 된다.\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts]\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAccounts\\UserList]\r\n\"cli\"=dword:00000000\r\n다운로드되어 실행되는 추가 bat 파일 중에는 avscan.bat이 있다. 이 파일은 감염 시스템에 설치된 안티 바\r\n이러스 제품들 정보뿐만 아니라 컴퓨터 이름, 그래픽 카드 이름, MAC 및 공인 IP 주소 등의 정보를 출력하\r\n는 역할을 한다.\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 6 of 8\n\nBatty.bat은 마지막으로 rdpclip.bat을 “Remote Desktop Clipboard”라는 이름으로 작업 스케줄러에 등록한 후\r\n실행한다. Rdpclip.bat은 NetStat 명령을 이용해 현재 8888번 포트를 사용 중인 프로세스가 없을 경우\r\nnotepad.exe 프로세스를 종료시킨 후 rdpclip-run.bat을 실행한다. 이는 추후 설치될 메타스플로잇 미터프리\r\n터가 사용할 포트 번호가 8888번이기 때문이다.\r\nRdpclip-run.bat은 단순히 동일 경로에 존재하는 rdpclip.ps1을 파워쉘을 이용해 실행시켜 주는 역할을 담당\r\n한다. Rdpclip.ps1 파워쉘 스크립트는 메타스플로잇의 스테이저 파워쉘 스크립트이다. 파워쉘 내부에는\r\nx64 쉘코드가 존재하며, 해당 파워쉘이 실행될 경우 쉘코드가 메모리 상에서 실행된다. 실행된 쉘코드는\r\n미터프리터 바이너리를 다운로드 받아 실행하며, 이에 따라 파워쉘 프로세스 내부에서 스테이저를 거쳐\r\n미터프리터가 실행된다.\r\n공격자는 x64 Staged Reverse TCP 방식으로 페이로드를 생성하였으며, 생성되는 파일은 exe 대신 파워쉘로\r\n지정하였다. 이외에도 PrependMigrateProc 옵션으로 notepad.exe 즉 메모장을 지정하였다. 해당 옵션은 실\r\n행 시 정상 프로세스를 생성하고 해당 프로세스에 미터프리터를 인젝션하는 것으로서 미터프리터가 실행\r\n중인 프로세스를 정상 프로세스로 위장하기 위해 사용되는 옵션이다. 실제로 앞에서 다룬 rdpclip.ps1 파워\r\n쉘을 실행할 경우 notepad.exe에 미터프리터가 인젝션되어 동작한다. 즉 감염 환경에서는 파워쉘이나 의심\r\n스러운 프로세스 대신 notepad.exe가 동작하면서 백도어 행위를 수행한다.\r\n결론\r\n최근 개인과 기업을 대상으로 하는 공격이 증가하고 있으며 초기 침투 이후 기업 내부망을 장악하기까지\r\n의 과정에서 침투 테스트 도구들이 자주 사용되고 있다. 대표적으로 코발트 스트라이크나 메타스플로잇\r\n같이 다양한 기능들을 제공하면서 쉽게 구할 수 있는 툴들이 그 대상이다. 공격자들을 이러한 툴들을 이용\r\n해 일반 사용자들 뿐만 아니라 최종적으로 기업의 시스템을 장악하여 기밀 정보를 탈취하거나 코인 마이\r\n너, 랜섬웨어를 설치하여 기업들에게 금전적인 손해를 가하고 있다.\r\n안랩 제품에서는 메타스플로잇을 활용한 첫 번째 초기 침투 단계부터 공격자의 명령을 받아 악성 행위를\r\n수행할 수 있는 미터프리터 백도어에 대해서 프로세스 메모리 기반의 탐지 기술을 보유하고 있다. 사용자\r\n들은 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 포함한 제품들을 최신 버전으로\r\n업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.\r\n[파일 진단]\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 7 of 8\n\nTrojan/Win.Agent.C4408533 (2021.04.09.03)\r\nTrojan/Win.Agent.R422617 (2021.05.26.04)\r\nTrojan/Win.Agent.R436488 (2021.08.12.00)\r\nTrojan/Win64.XMR-Miner.R226842 (2019.12.11.01)\r\nDownloader/BAT.Generic (2021.08.31.03)\r\nDownloader/PowerShell.Generic (2021.08.31.03)\r\nMD5\r\n36e6565271170a1570cae1b9d2cbbc1e\r\n37e7d679cd4aa788ec63f27cb02962ea\r\n7f4624a8eb740653e2242993ee9e0997\r\n86ab6de61284a27bc6fbe4fb6bccda38\r\na0d491fbdda9cda115d52d723bd83cea\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//122[.]165[.]141[.]2[:]8888/\r\nhttp[:]//27[.]102[.]127[.]240[:]3001/\r\nhttp[:]//31[.]172[.]80[.]104[:]3001/\r\nhttp[:]//79[.]133[.]41[.]237[:]4001/\r\nhttp[:]//88[.]202[.]190[.]25/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nSource: https://asec.ahnlab.com/ko/26705/\r\nhttps://asec.ahnlab.com/ko/26705/\r\nPage 8 of 8", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://asec.ahnlab.com/ko/26705/" ], "report_names": [ "26705" ], "threat_actors": [ { "id": "191d7f9a-8c3c-442a-9f13-debe259d4cc2", "created_at": "2022-10-25T15:50:23.280374Z", "updated_at": "2026-04-10T02:00:05.305572Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "Kimsuky", "Black Banshee", "Velvet Chollima", "Emerald Sleet", "THALLIUM", "APT43", "TA427", "Springtail" ], "source_name": "MITRE:Kimsuky", "tools": [ "Troll Stealer", "schtasks", "Amadey", "GoBear", "Brave Prince", "CSPY Downloader", "gh0st RAT", "AppleSeed", "Gomir", "NOKKI", "QuasarRAT", "Gold Dragon", "PsExec", "KGH_SPY", "Mimikatz", "BabyShark", "TRANSLATEXT" ], "source_id": "MITRE", "reports": null }, { "id": "760f2827-1718-4eed-8234-4027c1346145", "created_at": "2023-01-06T13:46:38.670947Z", "updated_at": "2026-04-10T02:00:03.062424Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "G0086", "Emerald Sleet", "THALLIUM", "Springtail", "Sparkling Pisces", "Thallium", "Operation Stolen Pencil", "APT43", "Velvet Chollima", "Black Banshee" ], "source_name": "MISPGALAXY:Kimsuky", "tools": [ "xrat", "QUASARRAT", "RDP Wrapper", "TightVNC", "BabyShark", "RevClient" ], "source_id": "MISPGALAXY", "reports": null }, { "id": "c8bf82a7-6887-4d46-ad70-4498b67d4c1d", "created_at": "2025-08-07T02:03:25.101147Z", "updated_at": "2026-04-10T02:00:03.846812Z", "deleted_at": null, "main_name": "NICKEL KIMBALL", "aliases": [ "APT43 ", "ARCHIPELAGO ", "Black Banshee ", "Crooked Pisces ", "Emerald Sleet ", "ITG16 ", "Kimsuky ", "Larva-24005 ", "Opal Sleet ", "Ruby Sleet ", "SharpTongue ", "Sparking Pisces ", "Springtail ", "TA406 ", "TA427 ", "THALLIUM ", "UAT-5394 ", "Velvet Chollima " ], "source_name": "Secureworks:NICKEL KIMBALL", "tools": [ "BabyShark", "FastFire", "FastSpy", "FireViewer", "Konni" ], "source_id": "Secureworks", "reports": null }, { "id": "71a1e16c-3ba6-4193-be62-be53527817bc", "created_at": "2022-10-25T16:07:23.753455Z", "updated_at": "2026-04-10T02:00:04.73769Z", "deleted_at": null, "main_name": "Kimsuky", "aliases": [ "APT 43", "Black Banshee", "Emerald Sleet", "G0086", "G0094", "ITG16", "KTA082", "Kimsuky", "Larva-24005", "Larva-25004", "Operation Baby Coin", "Operation Covert Stalker", "Operation DEEP#DRIVE", "Operation DEEP#GOSU", "Operation Kabar Cobra", "Operation Mystery Baby", "Operation Red Salt", "Operation Smoke Screen", "Operation Stealth Power", "Operation Stolen Pencil", "SharpTongue", "Sparkling Pisces", "Springtail", "TA406", "TA427", "Thallium", "UAT-5394", "Velvet Chollima" ], "source_name": "ETDA:Kimsuky", "tools": [ "AngryRebel", "AppleSeed", "BITTERSWEET", "BabyShark", "BoBoStealer", "CSPY Downloader", "Farfli", "FlowerPower", "Gh0st RAT", "Ghost RAT", "Gold Dragon", "GoldDragon", "GoldStamp", "JamBog", "KGH Spyware Suite", "KGH_SPY", "KPortScan", "KimJongRAT", "Kimsuky", "LATEOP", "LOLBAS", "LOLBins", "Living off the Land", "Lovexxx", "MailPassView", "Mechanical", "Mimikatz", "MoonPeak", "Moudour", "MyDogs", "Mydoor", "Network Password Recovery", "PCRat", "ProcDump", "PsExec", "ReconShark", "Remote Desktop PassView", "SHARPEXT", "SWEETDROP", "SmallTiger", "SniffPass", "TODDLERSHARK", "TRANSLATEXT", "Troll Stealer", "TrollAgent", "VENOMBITE", "WebBrowserPassView", "xRAT" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434363, "ts_updated_at": 1775826765, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/c841f7990ca05b306eef5c9edf1fbcb344abbea6.pdf", "text": "https://archive.orkl.eu/c841f7990ca05b306eef5c9edf1fbcb344abbea6.txt", "img": "https://archive.orkl.eu/c841f7990ca05b306eef5c9edf1fbcb344abbea6.jpg" } }