Windows - RDP 터널링 백도어 점검 | svchost.exe·spoolsv.exe 위장 서비스 확인 방법

·
OS/Windows
Windows 서버를 운영하다 보면 svchost.exe, spoolsv.exe, conhost.exe처럼 정상 시스템 프로세스와 동일한 이름의 파일이 백그라운드에서 실행되는 것을 자주 보게 됩니다. 하지만 파일 이름만 정상일 뿐, 실제 실행 경로가 전혀 다른 폴더에 위치하여 시스템 권한으로 실행되는 악성 서비스 사례가 지속적으로 보고되고 있습니다.특히, 외부 방화벽으로 차단된 RDP(3389) 포트를 우회하기 위해 오픈소스 프록시 도구(예: FRP)를 정상 시스템 파일로 위장하여 역터널링(Reverse Tunneling) 백도어를 구축하는 형태가 대표적입니다. 이번 글에서는 Windows 서버 침해 의심 환경에서 이러한 RDP 터널링 흔적을 점검하고 대응하는 절차를 정리합니다. 1. 정상 파일명보다 실..