개념
TA0002
실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:
스크립트 언어와 인터프리터
파워쉘
파워쉘 + 파워쉘
파워쉘 + C#
파워쉘 + winapi
cmd + Batch 스크립트
파이썬 Interpreter + 파이썬 코드
쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)
Fork & Run
Inline Process Execution
악성코드 컨테이너화
ISO/IMG
악성 가상머신 + Hyper-V
Native API
WinAPI
Direct Syscalls (시스템 콜)
Scheduled Task
Cronjobs
작업 스케줄
LOLBAS, LOLBINS
각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행
WMI
이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.
Last updated