์Šค์ผˆ๋ ˆํ†ค ํ‚ค

Tip

AWS ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ:HackTricks Training AWS Red Team Expert (ARTE)
GCP ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training GCP Red Team Expert (GRTE) Azure ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks ์ง€์›ํ•˜๊ธฐ

์Šค์ผˆ๋ ˆํ†ค ํ‚ค ๊ณต๊ฒฉ

์Šค์ผˆ๋ ˆํ†ค ํ‚ค ๊ณต๊ฒฉ์€ ๊ณต๊ฒฉ์ž๊ฐ€ ๋งˆ์Šคํ„ฐ ๋น„๋ฐ€๋ฒˆํ˜ธ๋ฅผ ๋„๋ฉ”์ธ ์ปจํŠธ๋กค๋Ÿฌ์— ์ฃผ์ž…ํ•˜์—ฌ Active Directory ์ธ์ฆ์„ ์šฐํšŒํ•  ์ˆ˜ ์žˆ๊ฒŒ ํ•ด์ฃผ๋Š” ์ •๊ตํ•œ ๊ธฐ์ˆ ์ž…๋‹ˆ๋‹ค. ์ด๋ฅผ ํ†ตํ•ด ๊ณต๊ฒฉ์ž๋Š” ๋น„๋ฐ€๋ฒˆํ˜ธ ์—†์ด๋„ ๋ชจ๋“  ์‚ฌ์šฉ์ž๋กœ ์ธ์ฆํ•  ์ˆ˜ ์žˆ์œผ๋ฉฐ, ์‚ฌ์‹ค์ƒ ๋„๋ฉ”์ธ์— ๋Œ€ํ•œ ๋ฌด์ œํ•œ ์ ‘๊ทผ ๊ถŒํ•œ์„ ๋ถ€์—ฌ๋ฐ›์Šต๋‹ˆ๋‹ค.

์ด ๊ณต๊ฒฉ์€ Mimikatz๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ์ˆ˜ํ–‰ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์ด ๊ณต๊ฒฉ์„ ์ˆ˜ํ–‰ํ•˜๊ธฐ ์œ„ํ•ด์„œ๋Š” ๋„๋ฉ”์ธ ๊ด€๋ฆฌ์ž ๊ถŒํ•œ์ด ํ•„์š”ํ•˜๋ฉฐ, ๊ณต๊ฒฉ์ž๋Š” ํฌ๊ด„์ ์ธ ์นจํ•ด๋ฅผ ๋ณด์žฅํ•˜๊ธฐ ์œ„ํ•ด ๊ฐ ๋„๋ฉ”์ธ ์ปจํŠธ๋กค๋Ÿฌ๋ฅผ ๋ชฉํ‘œ๋กœ ์‚ผ์•„์•ผ ํ•ฉ๋‹ˆ๋‹ค. ๊ทธ๋Ÿฌ๋‚˜ ๊ณต๊ฒฉ์˜ ํšจ๊ณผ๋Š” ์ผ์‹œ์ ์ด๋ฉฐ, ๋„๋ฉ”์ธ ์ปจํŠธ๋กค๋Ÿฌ๋ฅผ ์žฌ์‹œ์ž‘ํ•˜๋ฉด ์•…์„ฑ ์ฝ”๋“œ๊ฐ€ ์ œ๊ฑฐ๋˜๋ฏ€๋กœ ์ง€์†์ ์ธ ์ ‘๊ทผ์„ ์œ„ํ•ด์„œ๋Š” ์žฌ๊ตฌํ˜„์ด ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค.

๊ณต๊ฒฉ ์‹คํ–‰์—๋Š” ๋‹จ์ผ ๋ช…๋ น์–ด๊ฐ€ ํ•„์š”ํ•ฉ๋‹ˆ๋‹ค: misc::skeleton.

์™„ํ™” ์กฐ์น˜

์ด๋Ÿฌํ•œ ๊ณต๊ฒฉ์— ๋Œ€ํ•œ ์™„ํ™” ์ „๋žต์—๋Š” ์„œ๋น„์Šค ์„ค์น˜ ๋˜๋Š” ๋ฏผ๊ฐํ•œ ๊ถŒํ•œ ์‚ฌ์šฉ์„ ๋‚˜ํƒ€๋‚ด๋Š” ํŠน์ • ์ด๋ฒคํŠธ ID๋ฅผ ๋ชจ๋‹ˆํ„ฐ๋งํ•˜๋Š” ๊ฒƒ์ด ํฌํ•จ๋ฉ๋‹ˆ๋‹ค. ํŠนํžˆ, ์‹œ์Šคํ…œ ์ด๋ฒคํŠธ ID 7045 ๋˜๋Š” ๋ณด์•ˆ ์ด๋ฒคํŠธ ID 4673์„ ์ฐพ์œผ๋ฉด ์˜์‹ฌ์Šค๋Ÿฌ์šด ํ™œ๋™์„ ๋“œ๋Ÿฌ๋‚ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋˜ํ•œ, lsass.exe๋ฅผ ๋ณดํ˜ธ๋œ ํ”„๋กœ์„ธ์Šค๋กœ ์‹คํ–‰ํ•˜๋ฉด ๊ณต๊ฒฉ์ž์˜ ๋…ธ๋ ฅ์„ ์ƒ๋‹นํžˆ ์ €ํ•ดํ•  ์ˆ˜ ์žˆ์œผ๋ฉฐ, ์ด๋Š” ๊ทธ๋“ค์ด ์ปค๋„ ๋ชจ๋“œ ๋“œ๋ผ์ด๋ฒ„๋ฅผ ์‚ฌ์šฉํ•ด์•ผ ํ•˜๋ฏ€๋กœ ๊ณต๊ฒฉ์˜ ๋ณต์žก์„ฑ์ด ์ฆ๊ฐ€ํ•ฉ๋‹ˆ๋‹ค.

๋ณด์•ˆ ์กฐ์น˜๋ฅผ ๊ฐ•ํ™”ํ•˜๊ธฐ ์œ„ํ•œ PowerShell ๋ช…๋ น์–ด๋Š” ๋‹ค์Œ๊ณผ ๊ฐ™์Šต๋‹ˆ๋‹ค:

  • ์˜์‹ฌ์Šค๋Ÿฌ์šด ์„œ๋น„์Šค ์„ค์น˜๋ฅผ ๊ฐ์ง€ํ•˜๋ ค๋ฉด ๋‹ค์Œ์„ ์‚ฌ์šฉํ•˜์„ธ์š”: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*"}

  • ํŠนํžˆ Mimikatz์˜ ๋“œ๋ผ์ด๋ฒ„๋ฅผ ๊ฐ์ง€ํ•˜๊ธฐ ์œ„ํ•ด ๋‹ค์Œ ๋ช…๋ น์–ด๋ฅผ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค: Get-WinEvent -FilterHashtable @{Logname='System';ID=7045} | ?{$_.message -like "*Kernel Mode Driver*" -and $_.message -like "*mimidrv*"}

  • lsass.exe๋ฅผ ๊ฐ•ํ™”ํ•˜๊ธฐ ์œ„ํ•ด ๋ณดํ˜ธ๋œ ํ”„๋กœ์„ธ์Šค๋กœ ์„ค์ •ํ•˜๋Š” ๊ฒƒ์ด ๊ถŒ์žฅ๋ฉ๋‹ˆ๋‹ค: New-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa -Name RunAsPPL -Value 1 -Verbose

์‹œ์Šคํ…œ ์žฌ๋ถ€ํŒ… ํ›„ ๊ฒ€์ฆ์€ ๋ณดํ˜ธ ์กฐ์น˜๊ฐ€ ์„ฑ๊ณต์ ์œผ๋กœ ์ ์šฉ๋˜์—ˆ๋Š”์ง€ ํ™•์ธํ•˜๋Š” ๋ฐ ์ค‘์š”ํ•ฉ๋‹ˆ๋‹ค. ์ด๋Š” ๋‹ค์Œ์„ ํ†ตํ•ด ์ˆ˜ํ–‰ํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค: Get-WinEvent -FilterHashtable @{Logname='System';ID=12} | ?{$_.message -like "*protected process*

์ฐธ๊ณ  ๋ฌธํ—Œ

Tip

AWS ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ:HackTricks Training AWS Red Team Expert (ARTE)
GCP ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training GCP Red Team Expert (GRTE) Azure ํ•ดํ‚น ๋ฐฐ์šฐ๊ธฐ ๋ฐ ์—ฐ์Šตํ•˜๊ธฐ: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks ์ง€์›ํ•˜๊ธฐ