실습 CALDERA - 단말 측면이동

[측면 이동(Lateral Movement)]

• 하나의 시스템을 침해 후, 내부 네트워크 상 다른 시스템으로 권한을 확장 또는 접근 확장하는 행위
• 인증정보 재사용하거나 공유자원 악용해 내부 침투
• 측면 이동 행위를 하기 위해서는 네트워크 정보, 허용되어 있는 포트 정보, 대상 시스템의 공유 폴더 접근 이유 등 정보 수집 필요

[T1021.002 Remote Services: SMB/Windows Admin Shares]

• SMB를 통해 C$, ADMIN$ 같은 윈도우 관리자 공유를 통해 원격 명령을 실행하거나 파일 전송 기술
• 로컬 관리자 권한으로 SMB 접근 권한 있을시 어디든지 측면 이동 가능
• SMB(Server Message Block) : 네트워크상에서 컴퓨터끼리 파일, 폴더, 프린터 등을 공유하기 위해 사용하는 통신 규약(프로토콜)
• PsExec과 같은 도구들을 활용하여 원격 시스템에 악성 코드 실행 또는 에이전트 배포시 사용

• Command 내용
  • net use : 원격 시스템 공유 리소스에 연결. 인증 정보가 포함된 경우 지정된 계정 접속
  • \\(remote.host.ip)\c$ : 원격 시스템의 기본 C 드라이브 공유(c$) 경로 의미
  • \user : 연결 시 사용할 사용자 계정 지정. 도메인\계정명 형태
• Cleanup 내용
  • 마운트한 공유 드라이브 연결을 해제해 지속적인 흔적 제거
• 보안 조치 사항
  • 관리자 공유 비활성화
  • PsExec과 같은 도구들 실행 차단 정책을 적용하여 SMB 기간 원격 명형 실행 망지

[T1083 File and Directory Discovery]

• 파일 및 디렉터리 구조 탐색을 통해 민간 정보나 실행 가능한 파일 등을 수집
• dir, Get-Childitem, ls 등의 명령어를 사용

• Command 내용
  • Get-Childitem : Powershell 명령어로 지정된 경로에 있는 파일 및 디렉토리 목록 나열
  • #(host.system.path) : 시물레이션 중 실행 환경에서 주입되는 변수, 대상 시스템 내 탐색할 실제 경로 대체
• 보안 조치 사항
  • 중요 경로 접근 권한 최소화
  • 파일 시스템 접근 로그 감시 강화

[T1569.002 System Service :Service Execution]

• 명령어를 통해 악성 서비스 등록 또는 기존 서비스를 재시작해 코드 실행
• 시스템 재부팅 없이 지속적으로 실행

• Command 내용
  • Path.ToAtomicsFolder\..\ExternalPayloads\PsExec.exe : PsExec 도구의 실행 도구 경로. 로컬 또는 공유경로에서 PsExec 도구 호출
  • -t : 인터렉티브 모드로 GUI 기반 프로그램이 사용자 세션에서 실행되도록 설정
  • -u DOMAIN\Administrator : 실행할 사용자 계정으로 도메인 관리자 계정을 사용해 권한 상승 시도
  • -accepteula : 최초 실행 시 사용자 라이선스 동의 자동 승인
• 보안 조치 사항
  • 중요 시스템에서 서비스 생성 및 변경 이벤트 모니터링
  • WDAC 또는 AppLocker 정책을 통해 비인간 실행 파일의 등록 차단