개념

지속성 (Persistence) (공격) 단계는 공격자가 장악한 타겟에 계속적으로 접근하기 위해서 대상을 변형하거나 악성코드를 설치/실행하는 단계다. 애써 몇 주 동안 OSINT, 초기 침투, 정보 수집, 실행 단계까지 모두 거쳐 피싱 공격이 성공했는데, 1시간 뒤에 피싱을 당했던 김인턴이 컴퓨터를 끄고 퇴근한다면 여태까지 이뤘던 모든 공격이 물거품으로 돌아갈 것이다. 이처럼 재부팅, 설정 변화, 로그오프 등의 변수에도 계속 공격자가 호스트에 접근할 수 있도록 만드는 것이 지속성 공격 단계다.

지속성 공격은 호스트 지속성 공격과 네트워크 지속성 공격으로 나뉠 수 있다. 물론 액티브 디렉토리기반의 네트워크 지속성 공격은 호스트 지속성 공격으로 이어지기도 한다. 많은 방법이 있지만, 자주 사용되는 지속성 공격은 다음과 같다:

• 유저 정보 조작

• 작업 스케쥴러 및 Cronjob 생성

• 부팅 혹은 로그인 스크립트 조작/생성

• Startup 폴더

• 서비스 조작/생성

• AD - 골든 티켓

• AD - 실버 티켓

• AD - 스켈레톤 키

• AD - GPO 조작 및 배포

이외에도 수십가지가 더 있겠지만, 실제로 안전하게 사용할 수 있는 지속성 공격들은 위와 같다. 모의해킹일을 하다가 클라이언트의 호스트에 커널 룻킷을 설치하다 프로덕션 데이터베이스를 크래시 해 고소 당하기 싫다면, 최대한 안전한 지속성 공격을 골라 실행해야 한다.

이 섹션 에서는 자주 사용되고 안전한 지속성 공격들에 대해서 알아본다.