시스템 재부팅, 로그아웃 이후에 공격자가 해당 시스템에 계속 접근을 한다고 한다. 공격자가 접근하기 위해서 bootkit, 하이재킹, 웹 셸 및 스케줄링된 작업과 같은 지속성 매커니즘을 사용했다.

공격자가 등록해 놓은 지속성 매커니즘을 제공되는 RegHive 파일에서 모두 찾는 것이 문제이다. 문제 파일을 보면 아래와 같다.

각각의 모든 Hive 파일이 제공되었기 때문에 Registry Viewer 중 하나인 REGA를 사용해서 분석을 진행해 보겠다.

먼저 문제를 풀기 위해서는 앞서 언급된 Bootkit, Hijacking, web shell, scheduled task 와 같은 공격자의 공격유지에 사용되는 경로를 찾아야 한다.

공격자의 공격 유지는 대부분 APT 공격에 많이 사용 되기 때문에 참고 자료로 ATT&CK Matrix 를 참고하자. URL : https://attack.mitre.org/

그 중 우리는 Persistence 와 관련된 공격 유지 방법을 참고하면 될 것 같다. URL : https://attack.mitre.org/tactics/TA0003/

Persistence 는 공격자가 재시간, 변경된 자격증명 및 액세스를 차단 할 수 있는 여러가지의 시스템에 대한 액세스를 유지하는데 사용하는 기술을 의미한다. 한번 주어진 파일을 통해서 공격유지에 사용됬다고 의심되는 경로와 그 이유를 한번 알아보자.

• RegHive 수집한 환경(문제 제공 파일)
• 1. MSASCuiL.exe [ 시작 프로그램 ]
• 2. [email protected] [ 윈도우 스케줄러 ]
• 3. FileZilla.exe [ WER + DLL Hooking ]
• 4. win32.exe [ Winlogon\Shell ]
• 5. utilman.exe [ Winlogon\userinit ]
• 6. tlpsrv.exe [ 프로그램 위치 이상 ]
• 7. user32.dll [ AppInit_DLLs ]
• 8. Acrotray.exe [ 시작 프로그램 ]
• 9. durlek.bat [ 환경 변수 ]
• 10. rmfotj.dll [ AppCertDLLs ]
• 11. w.exe [ 시작 프로그램 ]
• 12. NisSrv.exe [ 프로그램 위치 이상 ]
• 13. sxs.dll [ Office DLL Injection ]