[Incident Response] T1196 Control Panel Items

 

ATT&CK Execution

(1) Execution이란?

  • 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

  • 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

  • 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

  • 예시

    • LNK 파일 내에 포함된 Powershell 명령행 실행

    • 스피어피싱(Spearphishing) 메일  내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

[그림 1] Execution

(2) Control Panel Items란?

  • Windows 제어판 항목은 사용자가 컴퓨터 설정을 보고 조정할 수 있는 유틸리티

  • 제어판 항목은 등록된 실행 파일(.exe) 또는 제어판(.cpl)파일이며, 후자는 실제로 CPIApplet 함수를 내보내는 동적 링크 라이브러리(.dll)파일로 이름이 변경됨

  • 제어판 항목은 명령 줄에서 직접 프로그래밍 방식으로 API(응용 프로그래밍 인터페이스) 호출 또는 파일을 두 번 클릭하여 실행 가능

  • 사용하기 쉽도록 제어판 항목에는 일반적으로 제어판 등록 및 로드 된 후 사용자가 사용할 수 있는 그래픽 메뉴가 포함

  • 공격자는 임의 명령을 실행하기 위해 제어판 항목을 실행 페이로드로 사용할 수 있음

  • Spearphishing Attachment를 통해 악성 제어판 항목을 배달하거나 다단계 악성코드의 일부로 실행할 수 있음

  • 제어판 항목, 특히 CPL 파일은 응용 프로그램 또는 파일 확장자 화이트리스트를 무시할 수 있음

  • 완화 방법으로는 실행 방지와 파일 및 디렉토리 권한 제한이 있음

  • 실행 방지는 적절한 경우 Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 악의적이거나 알려지지 않은 .cpl 파일을 식별하고 차단

  • 파일 및 디렉토리 권한 제한은 제어판 항목의 저장 및 실행을 C:\Windows 사용자 디렉토리가 아닌 보호된 디렉토리로 제한됨  

(3) Control Panel Item 내용 정리

3-1. 정상 용도

  • 제어판은 컴퓨터 설정을 확인하고 조정 가능한 유틸리티

  • 등록된 실행 파일(.exe.) 혹은 제어판 파일(.cpl) > 제어판 항목

  • 쉬운 사용을 위해 '제어판 항목'은 제어판 위에 그래픽으로 표시

3-2. 악의적 사용

  • 악성 명령을 사용하기 위해 제어판 아이템을 실행 페이로드로 사용 가능

  • Spearphishing 메일을 통해 악성 '제어판 항목'을 배달 > '사용자 실행'으로 실행

  • .cpl 파일은 파일 확장자 화이트리스팅 무시 가능

3-3. 매개변수

  • .cpl - Control Panel Items

 

[그림 2] Control Panel Items 기법 예시 (1)

 

[그림 3] Control Panel Items 기법 예시 (2)

 

[그림 4] Control Panel Items 기법 예시 (3)

 

[그림 5] Control Panel Items 기법 예시 (4)

(4) 기법 실습

 

4-1. Sublime Text3 > CPP 코드 작성

 

[그림 6] CPP 파일 작성

 

  • CPP 파일을 위 [그림 5]와 같이 작성

  • DLL로 동작

  • 계산기를 실행시키기 위한 코드

 

4-2. 코드 컴파일 > 컴파일된 실행 파일 > cpl 파일

 

[그림 7] cpl 파일 변경

 

  • CPP 파일을 컴파일

  • 컴파일된 파일을 CPL 파일로 변경

 

4-3. CMD(명령 프롬프트) 실행 > CPL 파일 실행

 

[그림 8] 계산기 실행

 

  • CMD (명령 프롬프트) 실행

  • [그림 7]과 같이 명령어 입력

  • CPL 파일을 실행할 수 있으며, 코드에 작성한 calc.exe 파일이 자동적으로 실행

(5) Control Panel Items 추가 내용

  • ID : T1196

  • 전술 : Defense Evasion, Execution

  • 플랫폼 : Windows

  • 필요 권한 : User, Administrator, SYSTEM

  • 데이터 소스

    • API 모니터링

    • 이진 파일 메타데이터

    • DLL 모니터링

    • Windows 레지스트리

    • Windows 이벤트 로그

    • 프로세스 명령 행 매개변수

    • 프로세스 모니터링

  • 방어 우회

    • 응용 프로그램 허용 목록

    • 프로세스 허용 목록

# Reference

 

https://attack.mitre.org/techniques/T1196/

 

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1196/T1196.md

저작자표시

'Incident Response > Execution' 카테고리의 다른 글

[Incident Response] T1203 Exploitation for Client Execution  (0) 2020.05.27
[Incident Response] T1173 Dynamic Data Exchange  (0) 2020.05.27
[Incident Response] T1223 Compiled HTML File  (0) 2020.05.27
[Incident Response] T1059 Command-Line Interface  (0) 2020.05.26
[Incident Response] T1191 CMSTP  (0) 2020.05.26

+ Recent posts

티스토리툴바