Notion : https://oval-taste-7e9.notion.site/Process-Injection-02685376049140bdabcfc82ff562331c S1. Get Target Process Handle 새로운 프로세스 생성 또는 실행 중인 프로세스의 핸들 획득 CreateProcess / OpenProcess svchost.exe, rundll32.exe, ... S2. Alloc Virtual Address Memory for Target Process 타겟프로세스의 가상주소공간에 새로운 메모리 영역(DLL 삽입 공간) 할당 상황에 따라 토큰 활성화 필요 SeDebugPrivilege OpenProcessToken LookupPrivilegeValue AdjustTokenPrivi..
Notion Link : https://oval-taste-7e9.notion.site/Masquerading-6f1f6847b6a44c3db7cda50ac8969682 1. MITRE ATT&CK ID: T1036 Masquerading ID: T1036.001 Invalid Code Signature 유효하거나 유효하지않은 인증서로 파일에 서명을 추가해 신뢰하도록 만드는 방식 예방 서명의 유효성 검사를 진행 Masquerading: Invalid Code Signature ID: T1036.002 Right-to-Left Override U+202E 유니코드문자열을 이용한 공격방식 특정 문화 국가에서는 문자를 오른쪽에서부터 읽기에 해당 유니코드를 지원했는데, 이를 공격에 악용 - 오른쪽에서 왼쪽으..