[Incident Response] T1059 Command-Line Interface

[Incident Response] T1059 Command-Line Interface

 

ATT&CK Execution

---

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

[그림 1] Execution

---

(2) Command-Line Interface란?

• Command-Line Interface는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며, 여러 유형 운영체제 플랫폼에서 공통적 기능을 가짐

• 원격 데스크톱 응용 프로그램, 리버스쉘 세션 등을 통해 로컬이나 원격으로 상호 작용이 가능

• 공격자는 해당 기법을 사용하여 작업 중에 시스템과 상호 작용하고 다른 소프트웨어 실행 가능

• 완화 방법으로 실행 방지가 있으며, Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 불필요한 Command-Line Interpreters를 차단할 수 있음

---

(3) Command-Line Interface 내용 정리

3-1. 정상 용도

• 명령줄 인터페이스는 컴퓨터 시스템과 상호 작용하기 위한 보편적인 기능

• Windows 운영체제의 cmd, Linux 운영체제의 bash

3-2. 악의적 사용

• 공격자는 침해한 시스템에서 명령행 인터페이스를 사용하여 시스템 악용 가능

• 원격 데스크톱(RDP), 리버스쉘(Reverse Shell) 등으로 로컬/원격으로 상호 작용 가능 

3-3. 매개변수

• 임의적

3-4. 예제

• C:\Windows\System32\cmd.exe /c sc query

---

(4) 기법 실습

 

4-1. cmd(명령 프롬프트) 실행 > cmd /c sc query

 

[그림 2] cmd /c sc query 입력

 

[그림 3] 내용 확인

 

• 내부적으로 실행 시키는 것은 일반 사용자도 간단하게 사용할 수 있지만, 공격자가 정보를 얻기 위해 악용할 가능성이 존재

• 명령어를 통하여 데이터가 출력되며, 해당 정보를 통하여 공격에 활용 가능

---

(5) Command-Line Interface 추가 내용

• ID : T1059

• 전술 : Execution

• 플랫폼 : Linux, Windows, MacOS

• 필요 권한 : User, Administrator, SYSTEM

• 데이터 소스

  • 프로세스 모니터링

  • 프로세스 명령행 매개변수

---

# Reference

 

https://attack.mitre.org/techniques/T1059/