# 개념

실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:

* 스크립트 언어와 인터프리터
  * 파워쉘
    * 파워쉘 + 파워쉘
    * 파워쉘 + C#
    * 파워쉘 + winapi
  * cmd + Batch 스크립트
  * 파이썬 Interpreter + 파이썬 코드
* 쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)
* Fork & Run
* Inline Process Execution
* 악성코드 컨테이너화
  * ISO/IMG
  * 악성 가상머신 + Hyper-V
* Native API
  * WinAPI
  * Direct Syscalls (시스템 콜)
* Scheduled Task
  * Cronjobs
  * 작업 스케줄
* LOLBAS, LOLBINS
  * 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행
* WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.