| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- filesystem
- Index
- elk stack
- PetitPotam
- 가이드라인
- exploit
- 정보보안
- sql인젝션
- pwnable
- 시스템해킹
- Threat Intelligence
- #C언어 #연산자
- 백엔드개발자
- node.js
- windows
- software
- wargame
- #whitespace #
- SQLMap
- 침해사고
- 랜섬웨어
- rce
- error 583066
- AD
- 프론트엔드개발자
- ATT&CK
- elasticsearch
- Mitre
- Credential Access
- forensic
- Today
- Total
Plit00's Story
MITRE ATT&CK 권한 상승(Privilege Escalation) 본문
공격자가 더 높은 수준의 권한을 얻으려고 합니다. 권한 상승은 시스템 또는 네트워크에 대한 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성됩니다. 일반적인 접근 방식은 시스템 약점, 잘못된 구성 및 취약점을 이용하는 것입니다.
- 권한 상승로컬 관리자특정 시스템에 액세스하거나 특정 기능을 수행하는 사용자 계정
- 관리자와 같은 액세스 권한이 있는 사용자 계정
- 시스템/루트 수준
T1547 Boot or Logon Autostart Execution
공격자는 시스템 부팅 또는 로그온 중에 프로그램을 자동으로 실행하여 지속성을 유지하거나 손상된 시스템에서 더 높은 수준의 권한을 얻도록 시스템 설정을 구성할 수 있습니다.
- Add a driver
- Timestep
May 11, 2022 @ 18:09:37.433
Event.code = 1 [Process Create]
pnputil.exe는 드라이버의 목록을 보여주거나, 추가, 제거하는 것으로 C:\Windows\INF 에 usbstor.inf(드라이버 파일)로 add driver을 추가하는 command_line을 확인할 수 있다.
추가 한 후 INF에 로그파일에 Device install 로그가 추가 되었다.
Process : cmd.exe Parent_Process : powershell_ise.exe 부모 프로세스가 powershell_ise.exe임을 봐선 실행했을때 타임이며
May 11, 2022 @ 18:09:37.456
event.code = 1
Process : cmd.exe Parent_Process : pnputil.exe 부모프로세스가 pnputil.exe이므로 드라이버 추가는 이 타임라인에 해당함을 볼 수 있다.
T1037 Boot or Logon Initialization Scripts
공격자는 지속성을 설정하기 위해 부팅 또는 로그온 초기화 시 자동으로 실행되는 스크립트를 사용할 수 있습니다. 공격자는 스크립트를 사용하여 단일 시스템에서 지속성을 유지할 수 있습니다. 로그온 스크립트의 액세스 구성에 따라 로컬 자격 증명이나 관리자 계정이 필요할 수 있습니다.
- T1037.001 Logon Script
- Windows 로그온 스크립트 nameley 와 관련된 레지스트리 키의 생성/수정을 모니터링합니다 HKCU\\Environment\\UserInitMprLogonScript.
- TimeStep
May 11, 2022 @ 18:31:39.685
event.code = 1 [Process Create]
%%temp%%\art.bat & REG.exe ADD HKCU\Environment /v UserInitMprLogonScript /t REG_SZ /d "%%temp%%\art.bat" /f”
Process : cmd.exe Parent_Process : powershell_ise.exe 명령어를 실행합니다.
May 11, 2022 @ 18:31:39.709
event.code = 11 [File Create]
C:\Users\plit00\AppData\Local\Temp에 art.bat 파일을 생성합니다. art.bat에 대한 내용입니다.
Process : cmd.exe
May 11, 2022 @ 18:31:39.711
event.code = 1 [Process Create]
Process : cmd.exe Parent_Process : reg.exe
reg.exe를 이용하여 HKEY_CURRENT_USER\Environment의 UserInitMprLogonScript에 데이터를 스크립트 경로인 C:\\Users\\plit00\\AppData\\Local\\Temp\\art.bat 을 추가합니다.
- HKEY_CURRENT_USER
- 현재 로그온되어 있는 사용자에 대한 프로필뿐만 아니라 폴더, 제어판 설정과 같은 환경 설정 등이 포함
May 11, 2022 @ 18:31:39.715
event.code = 13 [Registry value set]
Process : reg.exe
USERS의 하위인 CURRENT_USERS에 스크립트 경로를 추가시켰으므로 상위인
HKEY_USERS\S-1-5-21-1180652474-3319797739-1632498776-1001\Environment의 UserInitMprLogonScript에 데이터를 스크립트 경로인 C:\\Users\\plit00\\AppData\\Local\\Temp\\art.bat 을 추가합니다.
- HKEY_USERS
- 로컬 상에 존재하는 모든 사용자들의 프로필, 계정 설정, 환경 설정 등이 포함됩니다.
'Security > MITRE ATT&CK' 카테고리의 다른 글
| Mitre ATT&CK 자격증명 획득(Credential Access) (0) | 2022.05.28 |
|---|---|
| Mitre ATT&CK 정찰(Reconnaissance) (0) | 2022.04.15 |
| Mitre ATT&CK 초기 전술 Drive-by Compromise 조사 및 실습 (0) | 2022.04.15 |
| Mitre ATT&CK - 자원개발 (0) | 2022.04.15 |
