BitCoder

칼데라 에이전트를 설치하고 실행하는 절차를 소개합니다. 1. agent 설치 스크립트 내용 생성 페이지 좌측의 메뉴에서 agents 링크를 클릭하여 agents 페이지로 이동합니다. 다음 그림에서와 같이 나타나는 다이얼로그에서 Sandcat을 선택합니다. 그리고 다음 절차와 같이 실행합니다. ① platform으로 windows를 선택 ② app.contact.http 항목에 칼데라 서버 주소를 입력 ③ 생성된 스크립트의 내용 중 칼데라 서버 주소를 확인 제가 생성한 내용은 다음과 같습니다. $server="http://192.168.42.138:8888"; $url="$server/file/download"; $wc=New-Object System.Net.WebClient; $wc.Headers.add..

RedTeam AtomicTest를 사용하려면 먼저 관리자 권한의 PowerShell을 실행합니다. Invoke-AtomicTest T1006 Invoke-AtomicTest명령을 -ShowDetails 옵션을 포함하여 실행하면 해당하는 테스트에 대한 설명을 볼 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -ShowDetails 다음과 같이 실행하면 해당 항목에 대한 테스트를 실행할 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 테스트 후에 테스트 이전으로 복구하려면 -Cleanup 옵션을 포함하여 명령을 실행합니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -Cleanup

윈도우 보안로그의 이벤트 ID를 아래와 같이 정리하였습니다. Event ID Task Category Description 한글 설명 4611 Security System Extension A trusted logon process has been registered with the Local Security Authority. 신뢰할 수 있는 로그온 프로세스가 로컬 보안 기관에 등록되었습니다. 이 로그온 프로세스는 로그온 요청을 전송하도록 신뢰됩니다. 4624 Logon An account was successfully logged on. 계정이 성공적으로 로그온되었습니다. 4625 Logon An account failed to log on. 계정을 로그온하지 못했습니다. 4627 Group Memb..

1. 정의 T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다. T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다. 2. 설명 악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다. 윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다. 따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다. 3. AtomicRedTeam을 이용한 실험 이제 T1543.003에 대한 실험을 소개..