728x90
반응형
Notion : https://oval-taste-7e9.notion.site/Signed-Binary-Proxy-Execution-5762c9f05e144616a0178ff8013278b6
1. Signed Binary Proxy Execution
Sub-Techniques
Sub-techniques
- **T1218.001 - Compiled HTML File**
- **T1218.002 - Control Panel**
- **T1218.003 - CMSTP ( Microsoft Connection Manager Profile Installer )**
- **T1218.004 - InstallUtil**
- **T1218.005 - Mshta ( Microsoft HTML Application )**
- **T1218.007 - Msiexec ( Windows installer )**
- **T1218.008 - Odbcconf ( ODBC Driver Configuration Program )**
- **T1218.009 - Regsvcs((.NET 서비스 설치 도구)/Regasm((어셈블리 등록 도구)**
- **T1218.010 - Regsvr32 ( Microsoft Register Server )**
- **T1218.011 - Rundll32 ( DLL (Dynamic Link Library) 파일을 다른 응용 프로그램에서 실행 )**
- **T1218.012 - Verclsid ( Windows 운영 체제와 함께 제공되는 파일 관리자 응용 프로그램 )**
- **T1218.013 - Mavinject ( Microsoft Application Virtualization Injector )**
- **T1218.014 - MMC ( Microsoft Management Console )**
1.1 Signed Binary
- 시스템에 이미 설치되어 있고 서명되어 있는 정상 실행 파일
- 참조 사이트
- LOLBAS
1.2 Proxy Execution
- 간접 실행
- 최종 목적이 되는 바이너리나 스크립트를 직접 실행하는 대신 다른 프로그램 또는 스크립트를 활용하여 간접적으로 실행
1.3 Why
- Application Security Policy 우회 가능
- AppLocker
- 애플리케이션 해시값, 서명, 바이너리 위치/이름등에 기반해서 Application 통제
- AppLocker(Windows) - Windows security
728x90
반응형
'MITRE ATT&CK' 카테고리의 다른 글
| MITRE ATT&CK - Process Injection (0) | 2022.01.13 |
|---|---|
| MITRE ATT&CK - Masquerading (0) | 2022.01.12 |
