BitCoder

1. 정의 T1543은 시스템 프로세스에 대한 생성과 변경에 관한 테크닉입니다. T1543.003은 T1543의 하위 테크닉으로, 윈도우 서비스에 대한 생성과 변경에 관한 테크닉입니다. 2. 설명 악성코드 또는 공격자는 시스템에서 지속적으로 존재하여 실행되기 위하여 윈도우 서비스를 등록하거나 기존의 서비스를 수정합니다. 윈도우 서비스를 등록하기 위해서는 HIGH 권한이 필요합니다. 윈도우 서비스는 실행 시 SYSTEM 권한으로 실행되기 때문에 권한 상승을 목적으로 사용되기도 합니다. 따라서, 이 테크닉은 Tactics 중 TA0003 Persistence와 TA0004 Privilege Escalation에 속합니다. 3. AtomicRedTeam을 이용한 실험 이제 T1543.003에 대한 실험을 소개..

1. 소스코드 다음은 소스코드입니다. import win32serviceutil import servicemanager import ctypes import sys import time OutputDebugString = ctypes.windll.kernel32.OutputDebugStringW class MyServiceFramework(win32serviceutil.ServiceFramework): _svc_name_ = 'MyPythonService' _svc_display_name_ = 'My Python Service' is_running = False def SvcStop(self): OutputDebugString("MyServiceFramework __SvcStop__") self.is_r..

Visual Studio를 실행하고 "Empty Project"를 선택하고 Next를 누릅니다. 프로젝트 이름을 입력하고 Create를 누릅니다. 소스코드가 하나도 없는 비어있는(empty) 프로젝트입니다. 여기에 소스코드파일을 추가합니다. "Solution Explorer"창의 "Source Files"에 마우스 오른쪽 버튼을 클릭하고 "Add" -> "New Item..."을 선택합니다. 추가하는 파일의 이름은 "main.cpp"로 하겠습니다. 입력하고 "Add"를 클릭합니다. 다음의 소스코드를 입력합니다. 소스코드의 간결성을 위해 에러처리코드는 포함하고 있지 않습니다. #include #include #include #define SVCNAME TEXT("SvcName") void SvcInstal..