실습 CALDERA - 단말의 정보 수집

[T1069.001 Permission Groups Discovery: Local Groups]

• 관리자 그룹 등 권한 그룹 정보 확인
• 윈도우 파워쉘로 실행되는 스크립트로, 시스템 레벨 그룹 정책 목록에서 방화벽, UAC, 공유 설정 등 확인 가능

• Command 내용
  • gpresult : 현재 로그인한 사용자와 컴퓨터에 적용된 그룹 정책(GPO) 목록을 출력
  • /R : 요약된 형태로 출력

• 수행 결과

• Win 10 OS 버전 정보

• 현재 계정 그룹 확인
  • BUILTIN\Administrators 그룹 확인 
  • High Mandatory Level : Windows 운영체제의 필수 무결성 제어(Mandatory Integrity Control, MIC) 시스템에서 관리자 권한을 의미하여, UAC(User Account Control) 우회 의심 정황
  • UAC(User Account Control) 우회를 통한 관리자 권한 상승(UAC Bypass)에 악용 가능
• 보안 조치 사항
  • 사용자 계정을 관리자 그룹에서 제외하여 불필요한 권한 상승을 어렵게 해야함.

[T1082 System Information Discovery]

• OS버전, 컴퓨터 이름, 하드웨어 정보 등 시스템 기본 정보 확인
• 대표적인 명령어 : systeminfo, hostname

• Command 내용
  • Systeminfo : 운영 체제, 패치, 메모리, 네트워크 수정 등 시스템의 주요 정보를 요약 출력
  • && : 두 개 이상의 명령어를 연속해서 실행 시 사용하며, 앞 명령어 성공시에만 뒤 명령어 실행
  • reg query : 뒤에 나오는 레지스터리 경로 내용 확인
  • HKLM\SYSTEM\CurrentControlSet\Services\Disk\Enum : 시스템에 연결된 물리 디스크의 식별 정보에 대한 레지스트리 경로

• Win 10 OS버전, 메모리 크기, 도메인 사용 여부 등 시스템 기본 정보 확인
  • 해당 정보로 권한 상승 및 측면 이동 전략 수집하는 중요한 기초 자료로 사용 가능
• 보안 조치 사항
  • 일반 사용자는 systeminfo 명령어 실행 제한
  • 도메인 정보 노출 되지 않도록 정책 적용

[T1016 System Network Configuration Discovery]

• IP, 서브넷, DNS, 게이트웨이 등 네트워크 정보 수집
• 대표적인 명령어 : ipconfig, netsh

• Command 내용
  • ipconfig / all : 전체 네트워크 구성 정보
  • netsh interface show interface : 네트워크 인터페이스 상태
  • arp -a : 로컬 네트워크 내의 ARP 테이블
  • nbstat -n : NetBios 정보 확인
  • net config : 로컬 시스템의 네트워크 서비스 구성 상태

• 통신을 주고 받고 있는 IP 확인 가능
  • 서버 IP 외 IP 탐색 됨
  • 공격자는 내부망 구조 파악하고 측면 이동을 위한 경로 설정으로 사용
• 보안 조치 사항
  
  • 일반 사용자에게 IP 및 DNS 정보를 제한
  • VLAN을 통한 네트워크 분리로 APT 공격 확산 방지

[T1018 Remote System Discovery]

• 같은 네트워크 내 존재하는 PC 탐색
• 대표적인 명령어 : net view /domain, ping wseep

• Command 내용
  • 192.168.56.1부터 192.168.56.200까지 ping 패킷을 보내 로컬 네트워크 존재 PC 탐색

• 192.168.56.200 응답하는 네트워크 존재 확인
• 보안 조치 사항
  • 윈도우 및 리눅스 모두 사용하여 범용성이 높은 ping 명령어는 ICMP 프로토콜을 사용하므로, 방화벽을 통해 ICMP 패킷 차단
  • 비정상적인 핑 요청 IDS로 탐지하여 APT 공격 사전 방어

[T1046 Network Service Scanning]

• 로컬 네트워크에 존재하는 시스템들의 개방 중인 포트 스캔
• 내부 네트워크에 연결된 IP 대역 내 특정 포트(22[SSH], 53[DNS], 80[HTTP], 445[SMB])가 열려 있는지 확인 가능

• 페이로드 내용
  • basic_scanner.ps1 : CALDERA 지원하는 포트 스캐너
• Command 내용
  • import - module : basic_scanner.ps1 불러오기
  • $ports : 스캔할 포트 정의
  • Get-NetIPConfiguration : 활성화된 네트워크 어댑터 정보 조회
  • Get-NetIPAddress : IPv4 주소 및 서브넷 정보를 추출
  • Scan-Netrange : 추출한 IP 대역에 지정된 포트 스캔 수행

• 192.138.56.100, 192.138.56.200 455 포트(SMB) 개방 확인 됨
• SMB 프로토콜을 이용한 파일 공유 의심
• 보안 조치 사항
  • 포트 스캔 탐지 적발 위해 IDS/IPS 구성
  • 불필요한 서비스 비활성화

[T1135 Network Share Discovery]

• 시스템 또는 네트워크에 존재하는 공유 폴더 탐색
• 명령어 : net share, net view

• Command 내용
  • net view : 네트워크 공유된 폴더, 공유명, 설명 등 리스트 출력
  • \\localhost : 현재 PC(로컬 호스트)를 대상으로 지정

• 로컬 호스트 User 폴더가 SMB 프로토콜을 통해 공유 중 확인 됨

[추가 확인]

net view \\192.168.56.200\

• 수집 결과를 통해 네트워크에 존재하는 192.168.56.200에서 SMB를 통해 파일 공유 정황 확인 됨
• 어떤 파일 공유가 되고 있는지 추가 확인 필요
• Manual Command에 net view \\192.168.56.200\ 입력으로 공유 중인 파일 확인

• host2 폴더와 Users 폴더 공유 중 확인
• 보안 조치 사항
  • SMB 공유는 반드시 필요한 경우만 활성화
  • 최소 권한 설정 및 숨긴 공유 등 보안 설정 적용

[T1057 Process Discovery]

• 현재 실행 중인 프로세스 목록 수집
• 보안 소프트웨어(AV, EDR), 분석 도구, 관리자용 프로세스 식별 하여 탐지 우회 전략 수립 가능
• 특정 프로세스 탐지 후 종료
• 정상 프로세스로 위장에 악용 가능

• Command 내용
  • Get-process : 현재 실행 중인 모든 프로세스 정보 출력
  • $env:APPDATA\vmtools.log : 결과를 APPDATA 경로에 있는 vmtools.log 파일에 저장
  • cat $env:APPDATA\vmtools.log : 저장한 로그 파일 출력

• 결과 내용
  • 보안 서비스(MsMpEng), 사용자 활동 프로세스, 백드라운드 시스템 등 식별

[T1083 File and Directory Discovery]

• 시스템 내 주요 디렉토리 구조 및 파일 수집
• 민감 정보가 저장된 경로(EX : Documents, Desktop), 스크립트 및 암호 저장 파일 등을 파악하여 데이터 유출 지정 및 악성 파일 은닉 경로 활용

• Command 내용
  • ls -recurse : PowerShell alias 명령어로, 하위 폴더 포함 전체 파일/디렉터리 나열
  • get-childitem -recurse : 현재 디렉터리와 모든 하위 디렉터리 내의 항목들을 재귀적으로 나열
  • gci -recurse : get-childitem의 축약형(alias)

• 결과 내용
  • 도구 실행 파일, 보조 분석 도구 디렉터리, 잠재적인 민감 파일 위치 등 식별

• [보안 조치 사항]
  • 파일 접근 권한 설정 강화
  • 중요 파일 위치 보호

[T1007 System Service Discovery]

• 실행 중인 프로세스 및 서비스 목록 확인
• 백신, 로깅, 원격 접속 등 서비스 파악하여 우회 또는 우선 종료/제거 대상 타겟

• Command 내용
  • tasklist.exe : 현재 실행중인 모든 프로세스 나열
  • sc query :  서비스들의 요약 정보 출력
  • sc query state=all : 모든 상태의 서비스(중지 포함) 목록 출력하여, 비활성화 서비스 확인 가능

• 결과 내용
  • 실행 중인 서비스 프로세스 목록과 함께 Deviceinstall, DevQueryBroker, DHCP Client 등 Windows 서비스 이름과 상태 식별
  • 보안 서비스 탐지, 비활성화된 서비스 식별, 프로세스 기반 위협 분석 가능

• [보안 조치 사항]
  • 보안 서비스의 실행 상태를 주기적으로 모니터링
  • 비인가 종료 시 경고 발생

[T1124 System Time Discovery]

• 시스템의 시간과 시간대 정보 확인
• 운영 환경 시간, 로그 시간 분석, 탐지 우회, 시간 기반 조건 공격(UAC/백업 시간 회피 등) 활용
• 로그 은폐 및 로그 기록된 시간 변동으로 혼락 가능

• Command 내용
  • net time \\localhost : 로컬 시스템의 시간 동기화 상태 확인. 도메인 환경에서는 서버와의 시간 차이도 확인 가능
  • w32tm /tz : 시스템에 설정된 표준 시간대(Time Zone) 출력. 지리적 위치 또는 지역 설정 여부 추론 가능

• 결과 내용
  • 현재 날짜 및 시간, 시간대 바이어스, 표준/서머타임 설정 정보 확인 됨
  • 수집 정보를 통해 지리적 위치 추정, 로그 시간대 분석, 공격 타이밍 조절 전략 등 수립 가능

• [보안 조치 사항]
  • 타임서버와의 동기화 및 무결성 확인 필요

[T1087.001 Account Discovery: Local Account]

• 로컬 사용자 계정 정보 수집
• 존재하는 사용자 계정, 사용자 디렉토리, 로컬 그룹 구성원 등 파악하여 권한 상승 대상 식별, 측면 이동 경로 탐색에 활용

• Command 내용
  • net user : 시스템에 등록된 모든 사용자 목록
  • dir c:\Users\ : 사용자 홈 디렉토리들을 나열하여 사용자의 로그인 계정을 추정
  • cmdkey.exe /list : 저장된 자격 증명 정보 확인
  • net localgroup "Users" : "Users" 그룹에 속한 사용자 목록 확인
  • net localgroup : 시스템에 존재하는 모든 로컬 그룹 목록 확인

• 결과 내용
  • 존재하는 로컬 사용자 계정 목록, 사용자 디렉토리 구조, 저장된 인증 정보, 로컬 그룹 구성원 목록 파악 확인 됨

• [보안 조치 사항]
  • 불필요한 계정 제거
  • 관리자 계정 은닉 정책 수집

[T1033 System Owner/User Discovery]

• 명령어 실행 중인 사용자 계정 이름 식별
• 현재 권한 수준(일반/관리자)을 판단하여 추가 권한 상승 시도 여부 결정

• Command 내용
  • whoami : 현재 명령어 실행 중인 사용자 이름 출력

• 결과 내용
  • 현재 명령 사용자의 계정이 desktop-pr8tcho\user 임 확인 됨
  • 현재 세션 사용자 권한 수준 파악 후, 권한 상승 여부 판단 및 타켓 사용자 식별에 활용 가능

• [보안 조치 사항]
  • 최소 권한 원칙
  • 세분화된 접근 제어 정책 적용