개념

TA0002

실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:

  • 스크립트 언어와 인터프리터

    • 파워쉘

      • 파워쉘 + 파워쉘

      • 파워쉘 + C#

      • 파워쉘 + winapi

    • cmd + Batch 스크립트

    • 파이썬 Interpreter + 파이썬 코드

  • 쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)

  • Fork & Run

  • Inline Process Execution

  • 악성코드 컨테이너화

    • ISO/IMG

    • 악성 가상머신 + Hyper-V

  • Native API

    • WinAPI

    • Direct Syscalls (시스템 콜)

  • Scheduled Task

    • Cronjobs

    • 작업 스케줄

  • LOLBAS, LOLBINS

    • 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행

  • WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.

Last updated