[Incident Response] T1203 Exploitation for Client Execution
(1) Execution이란?
-
공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력
-
로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성
-
절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용
-
예시
-
LNK 파일 내에 포함된 Powershell 명령행 실행
-
스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도
-
(2) Exploitation for Client Execution이란?
-
예상치 못한 동작으로 이어질 수 있는 안전하지 않은 코딩 방식으로 인해 소프트웨어에 취약점이 존재할 수 있음
-
공격자는 임의 코드 실행을 목적으로 하는 대상 공격을 통해 특정 취약점을 이용 가능
-
종종 공격적 툴 킷에 대한 가장 유용한 악용은 원격 시스템에서 코드 실행을 얻는 데 사용할 수 있는 악용
-
사용자는 일반적으로 업무를 수행하는 데 사용했던 응용 프로그램과 관련된 파일을 볼 수 있으므로 유틸리티가 많아 악용 연구 및 개발에 유용한 대상
-
완화 방법으로는 응용 프로그램 격리 및 샌드박싱, 악용 방지가 있음
-
격리 및 샌드박싱은 브라우저 샌드박스를 사용하여 악용으로 인한 영향을 완화할 수 있지만 샌드박스 이스케이프가 여전히 존재 가능
-
또한, 다른 유형의 가상화 및 응용 프로그램 마이크로 세분화도 클라이언트 쪽 악용의 영향을 완화할 수 있으며, 해당 시스템에서 추가적 악용 및 취약점 위험이 여전히 존재 가능
-
악용 방지로는 WDEG 및 EMET와 같은 익스플로잇 중에 사용되는 동작을 찾는 보안 응용 프로그램을 사용하여 일부 익스플로잇 동작 완화 가능
-
그리고 제어 흐름 무결성 검사는 소프트웨어 악용 발생을 잠재적으로 식별하고 중지하는 또 다른 방법이며, 이러한 많은 보호 기능은 호환성을 위해 아키텍처 및 대상 응용 프로그램 이진에 의존
Exploitation for Client Execution 기법은 여러 유형이 존재한다.
2-1. 브라우저 기반 악용
-
웹 브라우저는 Drive-by Compromise and Spearphishing Link를 통한 공통 대상
-
엔드 포인트 시스템은 일반적 웹 브라우징 또는 웹 브라우저를 악용하는 데 사용되는 악의적인 제어 사이트로의 스피어 피싱 이메일 링크로 대상이 되는 특정 사용자로부터 손상 가능
2-2. 오피스 응용
-
Microsoft Office와 같은 일반 사무실 및 생산성 응용 프로그램도 Spearphishing Attachment, Spearphishing Link 및 Spearphishing via Service를 통한 대상으로 함
-
악성 파일은 첨부 파일로 직접 또는 다운로드 링크를 통해 전송되며, 이를 위해서는 사용자가 익스플로잇을 실행하기 위해 문서나 파일을 열어야 함
2-3. 일반적인 타사 응용 프로그램
-
대상 네트워크에 일반적으로 표시되거나 소프트웨어의 일부인 다른 응용 프로그램도 악용에 사용 가능
-
Enterprise 환경에서 일반적으로 사용되는 Adobe Reader 및 Flash와 같은 응용 프로그램은 시스템에 대한 액세스 권한을 얻으려는 공격자가 일상적으로 대상으로 삼고 있음
-
취약점과 소프트웨어의 특성에 따라 일부 브라우저에서 악용되거나 사용자가 파일을 열도록 요구 가능
(3) Exploitation for Client Execution 내용 정리
-
취약점으로 이어질 수 있는 안전하지 않은 코딩 방식으로 인해 발생 가능
-
많은 RCE / LPE 취약점 존재 (예시 : CVE-2017-5638, CVE-2019-1663 등등)
-
분류
-
브라우저 기반 취약점 (Browser-based Exploitation)
-
Drive by Compromise (CVE-2020-0674)
-
Spearphishing
-
-
오피스 어플리케이션 (Office Applications)
-
targeted MS Office (CVE-2017-11882)
-
Spearphishing Attachment / Link / via Service
-
-
일반적인 서드파티 애플리케이션 (Common Third-party Applications)
-
Adobe Reader or Flash (CVE-2013-0646, CVE-2018-4878)
-
SSH, FTP Server or Web Server (CVE-2019-12815, CVE-2018-10933)
-
-
※ 이 기법은 사용자가 실행하는 기법이므로, 사용자 실행에 의한 감염 정도를 나타내기 때문에 기법 실습은 따로 없음
(4) Exploitation for Client Execution 추가 내용
-
ID : T1203
-
전술 : Execution
-
플랫폼 : Linux, Windows, MacOS
-
시스템 요구 사항
-
실행을 위해 원격으로 악용하려면, 네트워크를 통해 원격으로 액세스 할 수 있는 서비스 또는 Spearphishing 또는 Drive by Compromise와 같은 기타 액세스 벡터 필요
-
-
데이터 소스
-
안티 바이러스
-
시스템 호출
-
프로세스 모니터링
-
# Reference
'Incident Response > Execution' 카테고리의 다른 글
[Incident Response] T1118 InstallUtil (0) | 2020.05.27 |
---|---|
[Incident Response] T1061 Graphical User Interface (0) | 2020.05.27 |
[Incident Response] T1173 Dynamic Data Exchange (0) | 2020.05.27 |
[Incident Response] T1196 Control Panel Items (0) | 2020.05.27 |
[Incident Response] T1223 Compiled HTML File (0) | 2020.05.27 |