실습 CALDERA - 명령 실행 및 탐지 회피

[Excetion]

• 명령 실행을 의미
• 공격자가 악성 코드를 실행 하거나 공격을 위한 초기 지점 구성

[Defense-evasion]

• 탐지 회피를 의미
• 공격 흔적을 은폐하거나 관리자 감시 방해

명령 실행 및 탐지회피를 실행하기 위해서는 관리자 권한 필요

 

[T1562.001 Impair Defenses: Disable or Modify Tools]

• 시스템의 로그 수집 또는 보안 이벤트 기록 기능, 보안 도구(Defender 등)을 중단 시켜 탐지 회피 유도
• 공격자는 명령 실행 하기 전 탐지를 우회하기 위해 Windows 레지스트리 값을 조작하여 EventLog-Application 로그 자동 수집 기능을 비활성화 시킴
• 이후 실행되는 PowerShell 며령이나 WMI 기반 실행 등 주요 행위 로그가 Window Event Viewer에 기록되지 않아, 관리자 감시 회피 가능
• WMI : 윈도우 운영체제의 하드웨어, 소프트웨어, 네트워크 상태를 로컬 또는 원격에서 관리하고 모니터링하기 위한 핵심 프레임워크

Command 설명

• New-ItemPropety : 지정된 경로에 새 레지스트리 항목 생성 또는 수정
• -Value 0 : Start 값을 0(비활성화)으로 설정
• -Property Type "Dword" : 값의 데이터 유형을 32비트 정수형(DWROD)로 지정

결과 설명

• Start 값 : 0 변경 완료
• 레지스터 편집기HKLM\System\CurrentControlSet\Control\WMI\Autologger\EventLog-Application Stsrt 값 확인
• 자동 로깅 기능 비성활성화 상태로 이후 PowerShell 실행에 대한 이벤트 로그 기록되지 않음

보안 조치 사항

• 보안 설정 변경에 대한 모니터링 강화
• 중요 레지스트리 경로에 대한 변경 탐지 설정

[T1059.001 Command and Scripting Interpreter: PowerShell]

• PowerShell 이용해 명령 실행
• PowerShell로 직접 명령 실행 하거나, 인코딩된 문자열 전달 하여 EDR, SIEM등 기초적인 문자열 기반 탐지 우회 가능

Command 설명

• Powershell.exe -e : Base64로 인코딩된 PowerShell 스크립트 실행

결과 설명

• Hello, from PowerShell! : PowerShell 명령이 성공적으로 실행되었음 확인 메세지
• Standard Error의 문구는 PowerShell이 내부적으로 처리하는 XML 형식의 출력 데이터로 분석 시 참고 정보로 간주

보안 조치 사항

• PowerShell 실행 정책 제한
• 인코딩된 명령어 실행을 탐지라는 보안 로깅 적용

[T1047 Windows Management Instrumentation]

• Window 운영체제의 WMI 기능을 악용하여 명령 실행, 시스템 정보 수집
• WMI는 시스템 관리용으로 설계된 합법적인 기능이지만, 공격자는 이를 악용해 탐지 우회를 위한 간접 명령 실행 또는 원격 실행에 악용
• PowerShell를 직접 호출하지 않아 보안 솔루션 탐지 회피 수단으로 주로 사용 됨

 

Command 설명

• Powershell -exec Bypass -e : 실행 정책 우회 후 Base64로 인코딩된 명령 실행

수정한 Command 설명

• wmic process call create "~~~" : WMI를 통한 새로운 프로세스 생성
• powershell.exe -ExecutionPolicy Bypass -EncodedCommand : 실행 정책 우회 후 Base64로 인코딩된 명령 실행
• 악성 프로세스 인코딩 후 작성
• 인코딩된 악성행위를 새로운 프로세스 생성 실행 정책 우회 후 실행

결과 설명

• WMI를 통해 직접 셜에 접근하지 않고 악성 프로세스 생성 완료
• 인코딩된 악성 코드 실행되어 ID 2196인 새로운 PowerShell 프로세스가 성공적 생성 완료

보안 조치 사항

• WMI 호출 및 스크립트 실행 기록 감시
• 비정상 WMI 활동 이벤트 기반 탐지

[T1112 Modify Registry]

• Window 레지스트리를 조작하여 보안기능 비활성화 또는 시스템 동작을 변경하여 탐지를 회피하거나 권한 지속
• 공격 완료 후 사용자 행동(프로세스 강제 종료 등)을 제한하기 위한 지속성 확보 방법
• 악성 동작을 은폐, 사용자 경험을 방해

Command 설명

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System : 사용자 계정의 시스템 정책 설정 경로
• /v DisableTaskMgr : 작업 관리자 비활성화 설정 키 값
• /t REG_DWORD : 32비트 정수형 값 설정
• /d 1 : 작업 관리자 비활성화

결과 설명

• 실행 결과로 작업 관리자 접근 차단 성공
• 작업 관리자 접근 차단으로 공격자 활동 은닉
• 실행 중인 프로세스 확인 및 종류 할 수 없어, 악성 프로세스 탐지 되지 않고 지속적으로 실행 가능

보안 조치 사항

• 중요한 레지스트리 키 변경을 실시간으로 감시
• 사용자 권한에 따라 레지스트리 편집을 제한 정책 수립