BitCoder

RedTeam AtomicTest를 사용하려면 먼저 관리자 권한의 PowerShell을 실행합니다. Invoke-AtomicTest T1006 Invoke-AtomicTest명령을 -ShowDetails 옵션을 포함하여 실행하면 해당하는 테스트에 대한 설명을 볼 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -ShowDetails 다음과 같이 실행하면 해당 항목에 대한 테스트를 실행할 수 있습니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 테스트 후에 테스트 이전으로 복구하려면 -Cleanup 옵션을 포함하여 명령을 실행합니다. Invoke-AtomicTest T1053.005 -TestNumbers 6 -Cleanup

1. 정의 T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다. T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다. 2. 설명 악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다. 윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다. 따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다. 3. AtomicRedTeam을 이용한 실험 이제 T1543.003에 대한 실험을 소개..