[Privilege Escalation 개념]
- 권한 상승
- 시스템 또는 네트워크에 더 높은 수준의 권한을 얻기 위해 사용하는 기술
- 권한 상승을 하기 위해선 운영체제 정보, 사용자 권한 정보 등을 정보가 필요
- UAC Bypass 취약점 : Administrator 권한 계정에서 UAC(사용자 계정 컨트롤)를 우회해 관리자 권한을 획득하는 취약점
[T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control]
- UAC Bypass 기법으로 UAC 팝업 없이 관리자 권한으로 실행
- Command 내용
- reg.exe add : 레지스트리에 키를 추가
- /ve : "기본 값" 설정
- \d "C:\Windows\System32\cmd.exe" : 기본값에 실행할 프로그램(cmd.exe)을 등록
- /v "DelegateExecute" : " DelegateExecute"라는 빈 값을 추가 (bypass 정상 동작 위해)
- fodhelper.exe : 조작된 레지스트리 참조하여 관리자 권한으로 프로그램 실행을 트리거
- 보안 조치 사항
- 그룹 관리를 통해 사용자 계정은 관리자 권한을 가지지 못하도록 설정하여 차단
- Windows Defender Application Control (WDAC) 정책 통해 접근 방지
- Windows Defender Application Control (WDAC) : 화이트리스트 기반(Code Integrity Policy)으로, 허용된 코드만 실행 하도록 함
[Persistence]
- 지속성
- 시스템 재부팅 또는 로그아웃 등 행위가 발생해도 지속적으로 연결을 하기 위한 기술
[T1053.005 Scheduled Task/Job:Scheduled Task]
- 작업 스케줄러에 실행 프로그램을 등록하여 지속성을 확보
- 시스템 부팅, 로그인 등 특정 이벤트에 따라 악성 프로그램이 반복 자동 실행되도록 작업 스케줄러 등록
- Command 내용
- /tn : 작업 이름
- /tr : 실행할 프로그램
- /sc onlogon : 사용자가 로그인 할 때마다 실행 설정
- /f : 기존 작업 덮어쓰기
- Cleanup 내용
- 실행 완료시 Command 라인에서 스케줄러에 등록했던 프로그램 강제로 아무 출력 없이 제거
- 보안 조치 사항
- 작업 스케줄러 정기 점검
- Windows Defender Application Control (WDAC) 정책 설정 통해 차단
'보안 > BAS(침해 및 공격 시뮬레이션)' 카테고리의 다른 글
| 실습 CALDERA - 데이터 수집 및 유출 (0) | 2026.05.07 |
|---|---|
| 실습 CALDERA - 명령 실행 및 탐지 회피 (0) | 2026.04.30 |
| 실습 CALDERA - 단말 측면이동 (0) | 2026.04.29 |
| 실습 CALDERA - 단말의 정보 수집 (0) | 2026.04.24 |
| CALDERA - 어빌리티(Ability) 분석 (0) | 2026.04.23 |