bumsoha 님의 블로그

계정 액세스 제거적대자는 합법적인 사용자가 사용하는 계정에 대한 액세스를 방해하여 시스템 및 네트워크 리소스의 가용성을 방해할 수 있습니다. 계정은 삭제, 잠금 또는 조작(예: 자격 증명 변경)되어 계정에 대한 액세스를 제거할 수 있습니다. 적대자는 또한 이후에 로그오프하고/또는 시스템 종료/재부팅을 수행하여 악의적인 변경 사항을 적용할 수 있습니다. Windows에서 Net 유틸리티 Set-LocalUser와 Set-ADAccountPassword PowerShell cmdlet은 적대자가 사용자 계정을 수정하는 데 사용될 수 있습니다. Linux에서 passwd유틸리티는 비밀번호를 변경하는 데 사용될 수 있습니다. 계정은 그룹 정책에 의해 비활성화될 수도 있습니다. 랜섬웨어나 유사한 공격을 사용하는 ..

자동 탈출적대자는 수집 중에 수집된 후 자동화된 처리를 통해 중요 문서와 같은 데이터를 빼낼 수 있습니다. 자동 침출이 사용되는 경우 C2 채널을 통한 침출 및 대체 프로토콜을 통한 침출 과 같이 네트워크 외부로 정보를 전송하기 위해 다른 침출 기술도 적용될 가능성이 높습니다 .  절차Attor - 수집된 데이터와 로그 파일을 자동으로 C2 서버로 빼내는 파일 업로더 플러그인이 있습니다.CosmicDuke - 수집된 파일을 FTP를 통해 자동으로 원격 서버로 추출합니다.Crutch - 도난당한 파일을 자동으로 Dropbox로 추출했습니다.Doki - 하드코딩된 IP 주소 목록에서 정보를 수집하고 Ngrok URL에 업로드하는 스크립트를 사용했습니다.Ebury - 자격 증명이 2주 동안 수집되지 않으면 공..

애플리케이션 계층 프로토콜적대자는 기존 트래픽에 섞여 탐지/네트워크 필터링을 피하기 위해 OSI 애플리케이션 계층 프로토콜을 사용하여 통신할 수 있습니다. 원격 시스템에 대한 명령과 종종 이러한 명령의 결과는 클라이언트와 서버 간의 프로토콜 트래픽에 포함됩니다. 적대자는 웹 브라우징, 파일 전송, 전자 메일, DNS 또는 게시/구독에 사용되는 프로토콜을 포함하여 다양한 프로토콜을 활용할 수 있습니다. 인클레이브 내부에서 발생하는 연결(예: 프록시 또는 피벗 노드와 ​​다른 노드 간 연결)의 경우 일반적으로 사용되는 프로토콜은 SMB, SSH 또는 RDP입니다.   절차클라이밍 - Clambling은 통신을 위해 Telnet을 사용할 수 있습니다.두쿠 - Duqu는 일반적으로 사용되는 포트를 통해 통신하는..

중간의 적대자적대자는 네트워크 스니핑 , 전송된 데이터 조작 또는 재생 공격( 자격 증명 액세스에 대한 악용 ) 과 같은 후속 동작을 지원하기 위해 중간자 적대자(AiTM) 기술을 사용하여 두 개 이상의 네트워크 장치 사이에 위치를 잡으려고 시도할 수 있습니다. 네트워크 트래픽의 흐름을 결정할 수 있는 일반적인 네트워킹 프로토콜(예: ARP, DNS, LLMNR 등)의 기능을 남용하여 적대자는 장치가 적대자가 제어하는 ​​시스템을 통해 통신하도록 강제하여 정보를 수집하거나 추가 작업을 수행할 수 있습니다. 예를 들어, 적대자는 피해자의 DNS 설정을 조작하여 사용자가 합법적인 사이트에 액세스하는 것을 방지/리디렉션하거나 추가 맬웨어를 푸시하는 것과 같은 다른 악의적인 활동을 가능하게 할 수 있습니다. 적..

원격 서비스 악용공격자는 원격 서비스를 악용하여 네트워크 내부에 침입한 후 내부 시스템에 대한 무단 액세스를 얻을 수 있습니다. 소프트웨어 취약성 악용은 공격자가 프로그램, 서비스 또는 운영 체제 소프트웨어나 커널 자체의 프로그래밍 오류를 이용하여 공격자가 제어하는 ​​코드를 실행할 때 발생합니다. 원격 서비스에 대한 침해 후 악용의 일반적인 목표는 측면 이동을 통해 원격 시스템에 액세스할 수 있도록 하는 것입니다.적대자는 원격 시스템이 취약한 상태인지 확인해야 할 수 있으며, 이는 네트워크 서비스 검색 또는 기타 검색 방법을 통해 네트워크에 배포될 수 있는 일반적인 취약한 소프트웨어, 취약성을 나타낼 수 있는 특정 패치의 부족 또는 원격 익스플로잇을 탐지하거나 격리하는 데 사용될 수 있는 보안 소프트웨..

계정 발견적대자는 시스템이나 침해된 환경에서 유효한 계정, 사용자 이름 또는 이메일 주소 목록을 얻으려고 시도할 수 있습니다. 이 정보는 적대자가 어떤 계정이 있는지 확인하는 데 도움이 될 수 있으며, 이는 무차별 대입 공격, 스피어 피싱 공격 또는 계정 인수(예: 유효한 계정 )와 같은 후속 행동에 도움이 될 수 있습니다.공격자는 기존 도구, 내장 명령을 남용하고, 대상 환경에서 계정 이름, 역할 또는 권한을 유출시키는 잠재적인 구성 오류를 포함하여 여러 가지 방법을 사용하여 계정을 열거할 수 있습니다.예를 들어, 클라우드 환경은 일반적으로 사용자 목록을 얻기 위해 쉽게 액세스할 수 있는 인터페이스를 제공합니다.  호스트에서 공격자는 기본 PowerShell 및 기타 명령줄 기능을 사용하여 계정을 식별..

중간의 적대자적대자는 네트워크 스니핑 , 전송된 데이터 조작 또는 재생 공격( 자격 증명 액세스에 대한 악용 ) 과 같은 후속 동작을 지원하기 위해 중간자 적대자(AiTM) 기술을 사용하여 두 개 이상의 네트워크 장치 사이에 위치를 잡으려고 시도할 수 있습니다. 네트워크 트래픽의 흐름을 결정할 수 있는 일반적인 네트워킹 프로토콜(예: ARP, DNS, LLMNR 등)의 기능을 남용하여 적대자는 장치가 적대자가 제어하는 ​​시스템을 통해 통신하도록 강제하여 정보를 수집하거나 추가 작업을 수행할 수 있습니다. 예를 들어, 적대자는 피해자의 DNS 설정을 조작하여 사용자가 합법적인 사이트에 액세스하는 것을 방지/리디렉션하거나 추가 맬웨어를 푸시하는 것과 같은 다른 악의적인 활동을 가능하게 할 수 있습니다. 적..

학대 상승 제어 메커니즘적대자는 권한 상승을 제어하도록 설계된 메커니즘을 우회하여 더 높은 수준의 권한을 얻을 수 있습니다. 대부분의 최신 시스템에는 사용자가 컴퓨터에서 수행할 수 있는 권한을 제한하도록 설계된 기본 권한 상승 제어 메커니즘이 포함되어 있습니다. 더 높은 위험으로 간주될 수 있는 작업을 수행하려면 특정 사용자에게 권한을 부여해야 합니다. 적대자는 내장된 제어 메커니즘을 활용하여 시스템에서 권한을 상승시키기 위해 여러 가지 방법을 수행할 수 있습니다.   절차 Raspberry Robin -ucmDccwCOMMethod UAC를 우회하고 권한을 상승시키기 위해 Windows AutoElevate 백도어를 남용하는 기술 의 변형을 구현합니다 . 완화책심사Windows 시스템에서 일반적인 UA..

학대 상승 제어 메커니즘적대자는 권한 상승을 제어하도록 설계된 메커니즘을 우회하여 더 높은 수준의 권한을 얻을 수 있습니다. 대부분의 최신 시스템에는 사용자가 컴퓨터에서 수행할 수 있는 권한을 제한하도록 설계된 기본 권한 상승 제어 메커니즘이 포함되어 있습니다. 더 높은 위험으로 간주될 수 있는 작업을 수행하려면 특정 사용자에게 권한을 부여해야 합니다. 적대자는 내장된 제어 메커니즘을 활용하여 시스템에서 권한을 상승시키기 위해 여러 가지 방법을 수행할 수 있습니다. 절차Raspberry Robin -ucmDccwCOMMethod UAC를 우회하고 권한을 상승시키기 위해 Windows AutoElevate 백도어를 남용하는 기술 의 변형을 구현합니다 . 완화책심사Windows 시스템에서 일반적인 UAC 우..

계정 조작공격자는 계정을 조작하여 피해자 시스템에 대한 액세스를 유지 및/또는 상승시킬 수 있습니다. 계정 조작은 자격 증명이나 권한 그룹을 수정하는 것과 같이 손상된 계정에 대한 공격자 액세스를 유지하거나 수정하는 모든 작업으로 구성될 수 있습니다.  이러한 작업에는 암호 기간 정책을 우회하고 손상된 자격 증명의 수명을 보존하기 위해 반복적인 암호 업데이트를 수행하는 것과 같이 보안 정책을 파괴하도록 설계된 계정 활동도 포함될 수 있습니다.계정을 만들거나 조작하려면 적대자는 이미 시스템이나 도메인에 대한 충분한 권한이 있어야 합니다. 그러나 계정 조작은 수정을 통해 추가 역할, 권한 또는 권한이 더 높은 유효한 계정 에 대한 액세스가 부여되는 권한 상승으로 이어질 수도 있습니다 . 절차2016년 우크라..