MITRE ATT&CK - T1543.003

1. 정의

 

T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다.

T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다.

 

2. 설명

악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다.  

윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다.

따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다.

 

 

3. AtomicRedTeam을 이용한 실험

 

이제 T1543.003에 대한 실험을 소개합니다.

윈도우 서비스를 등록하는 과정이기 때문에 관리자 권한의 PowerShell으로 실행해야 합니다.

윈도우키 + X를 누르면 다음 메뉴가 나옵니다.

나타난 메뉴에서 "Windows PowerShell(관리자)"를 선택하여 실행합니다.

그리고 나타난 PowerShell 창에서 다음 명령을 실행하여 T1543.003을 실험합니다. 

Invoke-AtomicTest T1543.003 -TestNumbers 2

 

실행결과는 다음 그림과 같습니다.

 

윈도우 서비스가 등록되었음을 확인하기 위해 다음과 같이 윈도우 서비스 관리콘솔을 실행합니다.

 

다음 그림과 같이 AtomicTestService_CMD 서비스가 등록되어있음을 확인할 수 있습니다.

 

해당 항목을 더블클릭하여 속성정보를 확인하면 다음과 같습니다.

 

윈도우 서비스 등록을 이벤트 뷰어를 통해 조회해보면 다음과 같습니다.

이벤트 ID가 7045인 시스템 정보 이벤트 로그를 확인할 수 있습니다.

 

4. 참고자료

https://attack.mitre.org/techniques/T1543/003/

Create or Modify System Process: Windows Service, Sub-technique T1543.003 - Enterprise | MITRE ATT&CK®