# 개념

실행은 공격자가 타겟 호스트에서 코드를 실행하는 단계다. 코드를 실행하는 방법은 비단 바이너리 파일 뿐만 아니라 많이 있다. 실행 단계에는 많은 TTP들이 있지만, 잘 알려지고 개인적으로 사용해본 실행 TTP는 다음과 같다:

* 스크립트 언어와 인터프리터
  * 파워쉘
    * 파워쉘 + 파워쉘
    * 파워쉘 + C#
    * 파워쉘 + winapi
  * cmd + Batch 스크립트
  * 파이썬 Interpreter + 파이썬 코드
* 쉘코드와 프로세스 인젝션 (왜 프로세스 인젝션 T1055이 권한 상승인지 이해가 잘 안간다)
* Fork & Run
* Inline Process Execution
* 악성코드 컨테이너화
  * ISO/IMG
  * 악성 가상머신 + Hyper-V
* Native API
  * WinAPI
  * Direct Syscalls (시스템 콜)
* Scheduled Task
  * Cronjobs
  * 작업 스케줄
* LOLBAS, LOLBINS
  * 각 운영체제에 기본적으로 설치되어 있는 기본 바이너리 파일들을 이용해 코드실행, 파일 다운로드, 데이터 유출 등을 진행
* WMI

이 페이지에서는 공격자들이 다양한 방법으로 어떻게 코드를 실행하는지에 대해서 알아본다.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://www.xn--hy1b43d247a.com/execution/concepts.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.