개념

TA0002

실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:

스크립트 언어와 인터프리터
- 파워쉘
  - 파워쉘 + 파워쉘
  - 파워쉘 + C#
  - 파워쉘 + winapi
- cmd + Batch 스크립트
- 파이썬 Interpreter + 파이썬 코드
쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)
Fork & Run
Inline Process Execution
악성코드 컨테이너화
- ISO/IMG
- 악성 가상머신 + Hyper-V
Native API
- WinAPI
- Direct Syscalls (시스템 콜)
Scheduled Task
- Cronjobs
- 작업 스케줄
LOLBAS, LOLBINS
- 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행
WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.

Last updated 2 years ago

TA0002

스크립트 언어와 인터프리터
- 파워쉘
  - 파워쉘 + 파워쉘
  - 파워쉘 + C#
  - 파워쉘 + winapi
- cmd + Batch 스크립트
- 파이썬 Interpreter + 파이썬 코드
쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)
Fork & Run
Inline Process Execution
악성코드 컨테이너화
- ISO/IMG
- 악성 가상머신 + Hyper-V
Native API
- WinAPI
- Direct Syscalls (시스템 콜)
Scheduled Task
- Cronjobs
- 작업 스케줄
LOLBAS, LOLBINS
- 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행
WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.

Last updated 2 years ago