실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:

• 스크립트 언어와 인터프리터

  • 파워쉘

    • 파워쉘 + 파워쉘

    • 파워쉘 + C#

    • 파워쉘 + winapi

  • cmd + Batch 스크립트

  • 파이썬 Interpreter + 파이썬 코드

• 쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)

• Fork & Run

• Inline Process Execution

• 악성코드 컨테이너화

  • ISO/IMG

  • 악성 가상머신 + Hyper-V

• Native API

  • WinAPI

  • Direct Syscalls (시스템 콜)

• Scheduled Task

  • Cronjobs

  • 작업 스케줄

• LOLBAS, LOLBINS

  • 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행

• WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.