Plit00's Story

Atomic Red Team을 이용하여 작성한 글입니다. Credential Access(자격 증명 인증) : 계정 이름 및 암호와 같은 자격 증명을 훔치는 기술(키 로깅, 덤프) T1606 Forge Web Credentials Web Cookie : 웹 응용 프로그램이나 인터넷 서비스에 액세스하는데 사용할 수 있는 웹 쿠키 조작 SAML Token - 유효한 SAML 토큰 서명 인증서를 소유하고 있는 경우 모든 권한 클레임 및 수명을 사용하여 위조할 수 있다. - SAML 토큰의 기본 수명은 1시간이지만 NotOnOrAfter 값에서 유효 기간 지정 - 위조된 SAML 토큰을 사용하면 공격자가 SAML 2.0을 SSO 메커니즘으로 사용하는 서비스에서 인증 가능[AccessTokenLifetimeLif..

공격자가 더 높은 수준의 권한을 얻으려고 합니다. 권한 상승은 시스템 또는 네트워크에 대한 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성됩니다. 일반적인 접근 방식은 시스템 약점, 잘못된 구성 및 취약점을 이용하는 것입니다. 권한 상승로컬 관리자특정 시스템에 액세스하거나 특정 기능을 수행하는 사용자 계정 관리자와 같은 액세스 권한이 있는 사용자 계정 시스템/루트 수준 T1547 Boot or Logon Autostart Execution 공격자는 시스템 부팅 또는 로그온 중에 프로그램을 자동으로 실행하여 지속성을 유지하거나 손상된 시스템에서 더 높은 수준의 권한을 얻도록 시스템 설정을 구성할 수 있습니다. Add a driver Timestep May 11, 2022 @ 18:09:37.433 ..

T1595 Active Scanning(액티브 스캐닝) [https://attack.mitre.org/groups/G0139/] - 주로 클라우드 및 컨테이너된 환경을 타겟으로 삼는 TEAMTNT 그룹이 사용합니다. Docker API에 대한 취약점 스캔을 했던 그룹 - .001 Scanning IP Blocks 특정 아이피 주소 검색 해당 실습 : nmap - nmap -sT 192.168.246.134 ==> connet()함수를 이용한 Open 스캔(TCP) - .002 Vulnerability Scanning T1592 Gather Victim Host Information(피해자 호스트 정보수집) [https://cybersecurity.att.com/blogs/labs-research/scan..

# 초기 전술 초기 액세스는 다양한 진입 벡터를 사용하여 네트워크 내에서 초기 발판을 확보하는 기술로 구성됩니다. 발판을 마련하는 데 사용되는 기술에는 표적 스피어피싱 및 공개 웹 서버의 약점 악용이 포함됩니다. 초기 액세스를 통해 얻은 기반은 유효한 계정 및 외부 원격 서비스 사용과 같은 지속적인 액세스를 허용하거나 비밀번호 변경으로 인해 사용이 제한될 수 있습니다. # T1189 Drive-by Compromise - 공격자는 일반적인 탐색 과정에서 웹사이트를 방문하는 사용자 통해 시스템에 액세스할 수 있습니다. 이 기술을 사용하면 일반적으로 사용자의 웹 브라우저가 악용의 대상이 되지만 공격자는 Application Access Token 획득과 같은 악용이 아닌 행동을 위해 해킹된 웹사이트를 사용할..

T1583 (Acquire Infrastructure) 공격자는 표적을 지정하는 동안 사용할 수 있는 기반 시설을 구매, 임대 또는 임대 적의 작전을 호스팅하고 조정하기 위한 다양한 인프라가 존재합니다. 인프라 솔루션에는 물리적 또는 클라우드 서버, 도메인 및 타사 웹 서비스가 포함됩니다. 또한 봇넷은 임대 또는 구매할 수 있습니다. [https://michaelkoczwara.medium.com/cobalt-strike-c2-hunting-with-shodan-c448d501a6e2] - .001 Domains 표적화하는 동안 사용할 수 있는 도메인을 구매할 수 있습니다. 구매한 도메인을 피싱, Drive-by 도용, 명령 및 제어를 비롯한 다양한 목적으로 사용 공격자는 상형 문자를 사용하거나 다른 최..