[주문형 기능(Features on Demand, FoD)]
- 사용자가 필요할 때 선택적으로 프로그램 설치 및 활성화 하는 기능
- 높은 권한이 필요한 기능으로 실행시, 운영체계에게 관리자 수준의 권한 상승을 요청
- 해당 기능 사용을 위해 Foldhelper.exe(C:\Windows\System32) 바이너이 실행 해야 함
[Foldhelper.exe 자동 권한 상승 요건]
- 실행파일의 디지털 서명 MS 확인
- 파일 위치 보호 폴더인 C:\Windows\System32 확인
- 파일 버전, 정품 여부 등 확인
- 프로그램(Foldhelper.exe) 실행 계정이 "Administrators" 그룹 여부
[Appinfo(Application Information)]
- 동작중인 응용프로그램을 관리자 수준으로 권한 상승 시 사용하는 서비스
- svchost.exe 프로세스에 의해 구현(권한 상승 자격증명 수행 주체)
- 로컬 윈도우 시스템의 최상위 integrity Level인 "system" 수준으로 동작
- Foldhelper.exe 프로그램은 integrity Level을 "system" 보다 낮은 "high" 수준으로 설정하여 실행 자격 프로세스
[Foldhelper.exe 실행 시 레지트리스 키의 명령어 참조]
Foldhelper.exe 프로그램은 실행하는 과정에서 레지스트리의 특정 키에 등록된 명령어를 참조하여 실행 함
악성코드를 해당 레지스트리 키에 등록 권한할 수 있는 권한 가질시 권한 상승된 억성코드가 실행될 수 있음
[윈도우 권한상승 분석 실습]
- 현재 통제중인 원격 시스템(Victim)으로 추가 공격에 사용될 파일 업로드
- 정상 업로드 여부 확인
- 레지스트리 조작(추가)
- 권한 상승 후 실행 됨
- 현재 쉘 권한 확인
- 일반 사용자 수준인 "medium" 권한 확인
- 특권(Privilege) 권한 갯수 적음
- C2 핸들러 구동
- 권한상승 공격 스크립트 실행
- Foldhelper.exe 프로그램 실행되며, 해당 프로그램에 의해 backdoor_8080.exe. 프로그램 자동 실행
- 신규 쉘 권한 확인
-
- 중요한 특권(Privilege)이 추가 및 활성화 되었음
-
'보안 > 보안 개념' 카테고리의 다른 글
| SQL Injection 개념 및 실습 (0) | 2026.05.19 |
|---|---|
| 웹 프록시 개념 및 실습 (0) | 2026.05.19 |
| 포트 포워딩 이용 피버팅(Privotiong) 환경 구축 (0) | 2026.05.14 |
| 메타스플로잇 모듈 활용한 포트 스캐닝 실습 (0) | 2026.05.14 |
| ARP 기반 라이브 호스트 스캐닝 실습(파워쉘 스크립트) (0) | 2026.05.14 |