[본 프로젝트는 보안 연구 및 공부에 활용함으로써 불법적으로 사용하는걸 금지합니다.]
1. 프로젝트 목적 : Tatic 권한 상승 - 이미지 파일 실행 옵션 연구
Red Team Infrastructure - Red Team Notes
reversing, forensics & misc
www.ired.team
본 프로젝트는 파일 실행 옵션을 변경하여 피해자 PC에 미리 침투 했다는 걸 이용하여 권한 상승을 위한 목적임
[시나리오]
먼저 공격자는 사전에 피해자 PC(Windows 10)의 악성코드 감염으로 피해자 PC 를 탈취 하였음
공격자는 피해자가 실행하지 않을 것 같은 프로그램을 미리 파악 한 후(최근 실행 파일 확인) 피해자 PC의 명령프롬프트를 이용하여 레지스트리에서 공격자가 사전에 파악 한 사용하지 않는 프로그램으로 지정 한 후
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\[사전에 파악한 실행 프로그램]" /v Debugger /d "cmd.exe"위 명령어를 통해 레지스트리에 삽입을 한다. 본 실습은 윈도우 메모장 (Notepad.exe) 를 기준으로 하였다.
삽입 후 메모장 (Notepad.exe) 를 실행하면 cmd 로 실행이 가능하다.
사전에 실행한 명령프롬프트 와 동일하게 실행되며 사전에 공격자가 지정한 프로그램을 실행했을때 또한 똑같이 진행되므로 피해자 PC 탈취 후 위 공격으로 지속성을 갖춤