[Incident Response] T1191 CMSTP

 

ATT&CK Execution

(1) Execution이란?

  • 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

  • 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

  • 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

  • 예시

    • LNK 파일 내에 포함된 Powershell 명령행 실행

    • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

[그림 1] Execution

(2) CMSTP란?

  • CMS(Microsoft Connection Manager) 프로필 설치 프로그램 (CMSTP.exe)은 Connection Manager 서비스 프로필을 설치하는 데 사용되는 명령 줄 프로그램

  • CMSTP.exe는 설치 정보 파일 (INF)을 매개 변수로 사용하고 원격 액세스 연결에 활용되는 서비스 프로필을 설치

  • 공격자는 악의적인 명령에 감염된 INF 파일을 CMSTP..exe에 제공할 수 있음

  • Regsvr32 / 'Squiblydoo'와 유사하게 CMSTP.exe는 원격 서버에서 DLL 및 COM Scriptlets (.sct)을 로드하고, 실행하기 위해 남용될 수 있음

  • CMSTP.exe는 적법하게 서명 된 Microsoft 응용 프로그램이므로, 실행은 AppLocker 및 기타 화이트리스트 방어를 우회 가능

  • CMSTP.exe를 악용하여 사용자 계정 컨트롤을 우회하고 자동으로 상승 된 COM 인터페이스를 통해 악의적인 INF에서 임의의 명령 실행 가능

  • 완화 방법으로 비활성화(기능 제거), 실행 방지 두 가지가 있음

  • 그러나 비활성화는 VPN 연결 설치에 CMSTP.exe를 사용하지 않는 한 CMSTP.exe는 특정 환경에서 필요하지 않을 수 있음

  • 실행 방지는 CMSTP.exe가 특정 시스템이나 네트워크에 필요하지 않은 경우, 공격자가 악용 될 가능성이 없도록 하려면 응용 프로그램 허용 목록을 사용하여 CMSTP.exe의 실행을 차단 

(3) CMSTP 내용 정리

3-1. 정상 용도

  • CMS(Microsoft Connection Manager) 프로필 설치 프로그램(CMSTP.exe)

  • 연결 관리자 프로파일을 설치하기 위해 사용

3-2. 악의적 사용

  • 악의적 명령이 작성된 .inf 파일을 CMSTP에 제공

  • 침해 서버 내에서 DLL 혹은 COM scriptlets(.sct)을 로드하고 실행

  • 적법한 MS 인증서로 서명 > AppLocker 등의 방어 기법 우회 가능

  • 사용자 계정 컨트롤(UAC) 우회 가능 > 권한 상승 가능

3-3. 매개변수

  • .inf - Installation Information File (INF)

3-4. 예제

  • C:\Windows\System\cmstp.exe /s {inf file path}

(4) 기법 실습

  • CMSTP 기법은 서버가 구축되어 있는 환경에서만 사용할 수 있는 기법

  • 따라서 PC에 추가적인 모듈 설치가 되어 있지 않다면 CMSTP 기법은 사용 불가능

그러므로 CMSTP 기법은 실습하지 못하였으므로, 예시 그림을 예로 들어 설명한다.

 

[그림 2] CMSTP 기법 예시

 

  • 악의적으로 사용하기 위한 inf 파일 작성

  • 내 로컬 PC에서 계산기를 실행하도록 하는 INF 파일

  • 실제로 계산기 말고도, 외부에서 실행 파일을 다운로드 받아 시키는 것도 가능

 

[그림 3] CMSTP inf 코드

 

  • 정상적인 DLL에 NI 함수를 이용하여 SCT 파일을 실행 시킴

  • SCT 파일에는 계산기를 실행시키는 코드를 담고 있음

 

[그림 4] CMSTP sct 코드

 

  • sct 파일은 XML 형식으로 작성되어 있음

  • ActiveXObject가 계산기를 실행시키는 것을 확인 가능

(5) CMSTP 추가 내용

  • ID : T1191

  • 전술 : Defense Evasion, Execution

  • 플랫폼 : Windows

  • 필요 권한 : User

  • 데이터 소스

    • 프로세스 모니터링

    • 프로세스 명령줄 매개변수

    • 네트워크 프로세스 사용

    • Windows 이벤트 로그

  • 방어 우회

    • 응용 프로그램 허용 목록

    • 안티 바이러스

# Reference

 

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1191/T1191.md

 

https://attack.mitre.org/techniques/T1191/

저작자표시 (새창열림)

'Incident Response > Execution' 카테고리의 다른 글

[Incident Response] T1203 Exploitation for Client Execution  (0) 2020.05.27
[Incident Response] T1173 Dynamic Data Exchange  (0) 2020.05.27
[Incident Response] T1196 Control Panel Items  (0) 2020.05.27
[Incident Response] T1223 Compiled HTML File  (0) 2020.05.27
[Incident Response] T1059 Command-Line Interface  (0) 2020.05.26

+ Recent posts

티스토리툴바