Yum_Yum

[Incident Response] T1196 Control Panel Items

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일  내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Control Panel Items란?

• Windows 제어판 항목은 사용자가 컴퓨터 설정을 보고 조정할 수 있는 유틸리티

• 제어판 항목은 등록된 실행 파일(.exe) 또는 제어판(.cpl)파일이며, 후자는 실제로 CPIApplet 함수를 내보내는 동적 링크 라이브러리(.dll)파일로 이름이 변경됨

• 제어판 항목은 명령 줄에서 직접 프로그래밍 방식으로 API(응용 프로그래밍 인터페이스) 호출 또는 파일을 두 번 클릭하여 실행 가능

• 사용하기 쉽도록 제어판 항목에는 일반적으로 제어판 등록 및 로드 된 후 사용자가 사용할 수 있는 그래픽 메뉴가 포함

• 공격자는 임의 명령을 실행하기 위해 제어판 항목을 실행 페이로드로 사용할 수 있음

• Spearphishing Attachment를 통해 악성 제어판 항목을 배달하거나 다단계 악성코드의 일부로 실행할 수 있음

• 제어판 항목, 특히 CPL 파일은 응용 프로그램 또는 파일 확장자 화이트리스트를 무시할 수 있음

• 완화 방법으로는 실행 방지와 파일 및 디렉토리 권한 제한이 있음

• 실행 방지는 적절한 경우 Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 악의적이거나 알려지지 않은 .cpl 파일을 식별하고 차단

• 파일 및 디렉토리 권한 제한은 제어판 항목의 저장 및 실행을 C:\Windows 사용자 디렉토리가 아닌 보호된 디렉토리로 제한됨  

(3) Control Panel Item 내용 정리

3-1. 정상 용도

• 제어판은 컴퓨터 설정을 확인하고 조정 가능한 유틸리티

• 등록된 실행 파일(.exe.) 혹은 제어판 파일(.cpl) > 제어판 항목

• 쉬운 사용을 위해 '제어판 항목'은 제어판 위에 그래픽으로 표시

3-2. 악의적 사용

• 악성 명령을 사용하기 위해 제어판 아이템을 실행 페이로드로 사용 가능

• Spearphishing 메일을 통해 악성 '제어판 항목'을 배달 > '사용자 실행'으로 실행

• .cpl 파일은 파일 확장자 화이트리스팅 무시 가능

3-3. 매개변수

• .cpl - Control Panel Items

(4) 기법 실습

4-1. Sublime Text3 > CPP 코드 작성

• CPP 파일을 위 [그림 5]와 같이 작성

• DLL로 동작

• 계산기를 실행시키기 위한 코드

4-2. 코드 컴파일 > 컴파일된 실행 파일 > cpl 파일

• CPP 파일을 컴파일

• 컴파일된 파일을 CPL 파일로 변경

4-3. CMD(명령 프롬프트) 실행 > CPL 파일 실행

• CMD (명령 프롬프트) 실행

• [그림 7]과 같이 명령어 입력

• CPL 파일을 실행할 수 있으며, 코드에 작성한 calc.exe 파일이 자동적으로 실행

(5) Control Panel Items 추가 내용

• ID : T1196

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User, Administrator, SYSTEM

• 데이터 소스

  • API 모니터링

  • 이진 파일 메타데이터

  • DLL 모니터링

  • Windows 레지스트리

  • Windows 이벤트 로그

  • 프로세스 명령 행 매개변수

  • 프로세스 모니터링

• 방어 우회

  • 응용 프로그램 허용 목록

  • 프로세스 허용 목록

# Reference

https://attack.mitre.org/techniques/T1196/

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1196/T1196.md

[Incident Response] T1223 Compiled HTML File

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing)메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Compiled HTML File이란?

• Compiled HTML File(chm)은 일반적으로 Microsoft HTML 도움말 시스템의 일부로 배포

• CHM 파일은 HTML 문서나 이미지, 자바스크립트와 같은 스크립팅 / 웹 관련 프로그래밍 언어와 같은 다양한 컨텐츠의 압축 편집 역할

• CHM 내용은 HTML 도움말 실행 프로그램(hh.exe)에 의해 로드 된 Internet Explorer 브라우저의 기본 구성 요소를 사용하여 표시됨

• 공격자는 이 기술을 악용하여 악성코드를 숨길 수 있고, 내장 된 페이로드가 포함된 사용자 정의 CHM 파일을 피해자에게 전달한 뒤, 악성 행위에 의해 트리거가 될 수 있음

• CHM 실행은 hh.exe를 통한 이진 실행을 설명하지 않는 이전 또는 패치되지 않은 시스템에서 응용 프로그램 허용 목록을 무시할 수 있음

• 완화 방법으로 실행 방지나 웹 기반 컨텐츠 제한이 있음

• 실행 방지는 특정 시스템이나 네트워크에 공격자가 악용될 가능성 방지를 위해 hh.exe가 필요하지 않은 경우 응용 프로그램 허용 목록을 사용하는 방법

• 웹 기반 컨텐츠 제한은 CHM 파일과 같은 적대적 캠페인에 사용되는 것으로 알려진 잠재적이지 않은 파일 형식 다운로드나 전송을 실행 차단하는 방법

(3) Compiled HTML File 내용 정리

3-1. 정상 용도

• '컴파일된 HTML 파일'은 보통 Microsoft HTML 도움말 시스템의 일부로 배포

• 다양한 컨텐츠의 압축본 : HTML, Image, Javascript, Hypertext/link

3-2. 악의적 사용

• 악의적으로 컴파일한 .chm 파일 제작

• 정상적인 파일처럼 위장하여 '사용자 실행'에 의해 실행

• 실행 시 내장된 악성 페이로드가 실행되어 감염

3-3. 매개변수

• .chm - Compiled HTML File (CHM)

3-4. 예제

• C:\Windows\hh.exe {local chm file path}

(4) 기법 실습

4-1. HTML Help Workshop 프로그램 다운로드 > 코드 작성

• HTML Help Workshop 프로그램을 다운로드하고, [그림 4]를 예시로 하여 코드 작성

4-2. HHP 파일 > Sublime Text3 > 컴파일할 수 있는 프로젝트 파일 만들기

• HHP 파일을 Sublime Text3로 작성하여 컴파일 할 수 있는 프로젝트 파일을 만들어 준다.

4-3. HTML Help Workshop 프로젝트 > Log 파일, CHM 파일 생성

• 다시 HTML Help Workshop으로 가서 프로젝트를 HHP 파일로 만들어주면 Log파일이 생성되고, CHM 파일도 같이 생성됨 

4-4. 악의적 CHM 파일 생성 (공격자 입장)

• CMD(명령 프롬프트)를 실행시키고, [그림 7]과 같은 명령어를 입력해주면 성공적으로 악의적인 CHM 파일 생성

• 실제로는 도움말이 켜지지만, 작성해놓은 계산기가 실행되는 것을 확인

(5) Compiled HTML File 추가 내용

• ID : T1223

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User

• 데이터 소스

  • 파일 모니터링

  • 프로세스 모니터링

  • 프로세스 명령 줄 매개변수 

• 방어 우회

  • 응용 프로그램 허용 목록

  • 디지털 인증서 유효성 검사

# Reference

https://attack.mitre.org/techniques/T1223/

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1223/T1223.md

[Incident Response] T1059 Command-Line Interface

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Command-Line Interface란?

• Command-Line Interface는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며, 여러 유형 운영체제 플랫폼에서 공통적 기능을 가짐

• 원격 데스크톱 응용 프로그램, 리버스쉘 세션 등을 통해 로컬이나 원격으로 상호 작용이 가능

• 공격자는 해당 기법을 사용하여 작업 중에 시스템과 상호 작용하고 다른 소프트웨어 실행 가능

• 완화 방법으로 실행 방지가 있으며, Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 불필요한 Command-Line Interpreters를 차단할 수 있음

(3) Command-Line Interface 내용 정리

3-1. 정상 용도

• 명령줄 인터페이스는 컴퓨터 시스템과 상호 작용하기 위한 보편적인 기능

• Windows 운영체제의 cmd, Linux 운영체제의 bash

3-2. 악의적 사용

• 공격자는 침해한 시스템에서 명령행 인터페이스를 사용하여 시스템 악용 가능

• 원격 데스크톱(RDP), 리버스쉘(Reverse Shell) 등으로 로컬/원격으로 상호 작용 가능 

3-3. 매개변수

• 임의적

3-4. 예제

• C:\Windows\System32\cmd.exe /c sc query

(4) 기법 실습

4-1. cmd(명령 프롬프트) 실행 > cmd /c sc query

• 내부적으로 실행 시키는 것은 일반 사용자도 간단하게 사용할 수 있지만, 공격자가 정보를 얻기 위해 악용할 가능성이 존재

• 명령어를 통하여 데이터가 출력되며, 해당 정보를 통하여 공격에 활용 가능

(5) Command-Line Interface 추가 내용

• ID : T1059

• 전술 : Execution

• 플랫폼 : Linux, Windows, MacOS

• 필요 권한 : User, Administrator, SYSTEM

• 데이터 소스

  • 프로세스 모니터링

  • 프로세스 명령행 매개변수

# Reference

https://attack.mitre.org/techniques/T1059/

[Incident Response] T1191 CMSTP

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) CMSTP란?

• CMS(Microsoft Connection Manager) 프로필 설치 프로그램 (CMSTP.exe)은 Connection Manager 서비스 프로필을 설치하는 데 사용되는 명령 줄 프로그램

• CMSTP.exe는 설치 정보 파일 (INF)을 매개 변수로 사용하고 원격 액세스 연결에 활용되는 서비스 프로필을 설치

• 공격자는 악의적인 명령에 감염된 INF 파일을 CMSTP..exe에 제공할 수 있음

• Regsvr32 / 'Squiblydoo'와 유사하게 CMSTP.exe는 원격 서버에서 DLL 및 COM Scriptlets (.sct)을 로드하고, 실행하기 위해 남용될 수 있음

• CMSTP.exe는 적법하게 서명 된 Microsoft 응용 프로그램이므로, 실행은 AppLocker 및 기타 화이트리스트 방어를 우회 가능

• CMSTP.exe를 악용하여 사용자 계정 컨트롤을 우회하고 자동으로 상승 된 COM 인터페이스를 통해 악의적인 INF에서 임의의 명령 실행 가능

• 완화 방법으로 비활성화(기능 제거), 실행 방지 두 가지가 있음

• 그러나 비활성화는 VPN 연결 설치에 CMSTP.exe를 사용하지 않는 한 CMSTP.exe는 특정 환경에서 필요하지 않을 수 있음

• 실행 방지는 CMSTP.exe가 특정 시스템이나 네트워크에 필요하지 않은 경우, 공격자가 악용 될 가능성이 없도록 하려면 응용 프로그램 허용 목록을 사용하여 CMSTP.exe의 실행을 차단 

(3) CMSTP 내용 정리

3-1. 정상 용도

• CMS(Microsoft Connection Manager) 프로필 설치 프로그램(CMSTP.exe)

• 연결 관리자 프로파일을 설치하기 위해 사용

3-2. 악의적 사용

• 악의적 명령이 작성된 .inf 파일을 CMSTP에 제공

• 침해 서버 내에서 DLL 혹은 COM scriptlets(.sct)을 로드하고 실행

• 적법한 MS 인증서로 서명 > AppLocker 등의 방어 기법 우회 가능

• 사용자 계정 컨트롤(UAC) 우회 가능 > 권한 상승 가능

3-3. 매개변수

• .inf - Installation Information File (INF)

3-4. 예제

• C:\Windows\System\cmstp.exe /s {inf file path}

(4) 기법 실습

• CMSTP 기법은 서버가 구축되어 있는 환경에서만 사용할 수 있는 기법

• 따라서 PC에 추가적인 모듈 설치가 되어 있지 않다면 CMSTP 기법은 사용 불가능

그러므로 CMSTP 기법은 실습하지 못하였으므로, 예시 그림을 예로 들어 설명한다.

• 악의적으로 사용하기 위한 inf 파일 작성

• 내 로컬 PC에서 계산기를 실행하도록 하는 INF 파일

• 실제로 계산기 말고도, 외부에서 실행 파일을 다운로드 받아 시키는 것도 가능

• 정상적인 DLL에 NI 함수를 이용하여 SCT 파일을 실행 시킴

• SCT 파일에는 계산기를 실행시키는 코드를 담고 있음

• sct 파일은 XML 형식으로 작성되어 있음

• ActiveXObject가 계산기를 실행시키는 것을 확인 가능

(5) CMSTP 추가 내용

• ID : T1191

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User

• 데이터 소스

  • 프로세스 모니터링

  • 프로세스 명령줄 매개변수

  • 네트워크 프로세스 사용

  • Windows 이벤트 로그

• 방어 우회

  • 응용 프로그램 허용 목록

  • 안티 바이러스

# Reference

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1191/T1191.md

https://attack.mitre.org/techniques/T1191/

[Windows Artifacts] WER

(1) WER이란?

• 윈도우 문제 보고 (Windows Error Reporting)

• 하드웨어 / 소프트웨어 오류 발생 시 관련된 디버깅 정보 수집 및 보고용

• Microsoft 서버로 수집된 덤프 발송 (OS Dependency)

• 레지스트리에서 WER 관련된 기능 설정 가능

• 로컬 WER 크래시 덤프 생성 가능

(2) WER 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• File Name, Event Time, App Path, Etc.

2-3. Path

• Microsoft-Windows-WER-Diag%4Operational.evtx - Event Log

• %SystemDrive%ProgramData\Microsoft\Windows\WER\ReportArchive

• %UserProfile%AppData\Local\Microsoft\Windows\WER

2-4. Characteristic

• If malware craches, detection is possible

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > ProgramData > Microsoft > Windows > WER > ReportArchive 폴더 아티팩트 확인

• 마우스 우클릭 - Export Files

해당 경로로 이동하게 되면, ReportArchive 폴더 안에 WER 아티팩트들이 존재한다.

마우스 우클릭을 한 다음, Export Files 기능을 통해 WER 아티팩트를 수집한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

3-2. Sublime Text3 활용, WER 분석

Sublime Text3 프로그램을 이용하여 Report.WER 파일을 오픈한 화면이다.

ColorEngine 프로그램에 대한 WER 파일이다.

WER 아티팩트를 통해 얻을 수 있는 정보로는 다음과 같다.

• 프로그램에 대한 오류 정보

• 프로그램 버전

• 타임스탬프

• 오류 모듈 DLL

• 프로그램에 대한 정확한 오류 정보

• Loaded Module에 대한 정보와 경로

• OsInfo

• FriendlyEventName

• 프로그램 이름 & 경로 

이외에도 여러 추가적인 정보 확인이 가능하다.

(4) 추가 내용 정리

• 윈도우 문제 보고 (Windows Error Reporting)는 윈도우 XP부터 추가된 기능

• 운영체제에 H/W나 S/W 오류가 발생하면 오류와 관련한 디버깅 정보를 수집하여 보고하는 기능

• WER은 H/W나 S/W 오류를 탐지하여 개선하고자 하는 기능이지만, 악성코드도 S/W이기 때문에 악성코드 탐지에도 사용 가능

• 악성코드는 보통 제작될 때, 모든 환경을 고려하지 못해 자주 시스템 관련 오류를 발생시키는데 주로 운영체제 버전이 맞지 않거나 플랫폼이 맞지 않아 발생하므로, 오류 발생 시 생성한 로그를 통해 악성코드인지 여부 판단 가능

• WER 크래시 덤프를 남기도록 설정해두면, 사고 조사 시에 악성코드의 정확한 흔적이 남을 수 있음

# Reference

https://docs.microsoft.com/ko-kr/windows/win32/wer/wer-settings?redirectedfrom=MSDN

https://docs.microsoft.com/ko-kr/windows/win32/wer/collecting-user-mode-dumps?redirectedfrom=MSDN

[Windows Artifacts] Task Scheduler

(1) Task Scheduler란?

• 작업 스케줄러는 미리 정의된 시간 또는 지정된 시간 간격 (작업 예약) 후에 프로그램이나 스크립트의 실행을 예약할 수 있는 기능을 제공하는 Microsoft Windows의 구성 요소

• 해당 아티팩트는 지속적 공격을 위하여 악의적으로 활용될 수 있는 아티팩트

• 공격자가 자주 사용하는 기능이며, 악성 파일을 다운로드하기 전에 특정 조건을 기다리게 할 수 있는 아티팩트

(2) Task Scheduler 상세 내용

2-1. Kind of

• Windows OS Function

2-2. Information

• Attack's Malicious Activities for Persistent

2-3. Path

• Save when using 'at' or 'schtasks' command

  • %SystemDrive%\Windows\Tasks\*

  • %SystemDrive%\Windows\System32\Tasks\*

• Microsoft-Windows-TaskScheduler/Operational - Event Log

2-4. Characteristic

• This features frequently used by attackers

• It is possible that wait for certain preconditions before downloading malicious files

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Windows > System32 > Tasks 폴더 아티팩트 확인

• 마우스 우클릭 - Export Files

Task Scheduler 아티팩트 확인 후에, 마우스 우클릭하면 Export Files 기능을 사용할 수 있다.

Export Files 기능을 통해 해당 아티팩트를 수집한다.

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 아티팩트를 지정해 준 화면이다.

3-2. Sublime Text 3 활용, Task Scheduler 아티팩트 분석

Adobe Acrobat Update Task라는 이름을 가진 xml 파일을 Sublime Text 3로 오픈한 화면이다.

• 해당 아티팩트는 Adobe Acrobat Update에 대한 등록 정보, 여러 Triggers(캘린더, 로그온 등)와 Boundary(시작, 끝), 주요 내용, 실행 파일 경로 등을 확인 가능

따로 분석 도구를 사용하지 않아도 분석이 가능하여, 매우 편리함을 주는 아티팩트인 것 같다.

그러나 지속적 공격을 위해 악의적으로 많이 활용되는 아티팩트이므로, 상세 분석을 진행할 필요성이 큰 아티팩트이다.

관련 아티팩트에 대한 문서나 자료가 많지 않아 우선 분석이랑 내용은 이 정도까지 하고, 내용은 추후에 계속 추가적으로 분석시키도록 하겠다.