2. impacket - psexec.py

2.1. 공격 수행 기전

SMB 연결 및 인증
- SMBConnection을 사용하여 TCP 445 포트(기본적으로) 또는 139 포트를 통해 SMB로 대상에 연결
- NTLM 해시 기반 인증(Pass-the-Hash) 또는 Kerberos 인증 지원
- 인증이 완료되면 IPC$ 공유에 접근
원격 서비스 등록 및 실행
- RemComSvc 기반으로 서비스 설치 및 실행
- ServiceInstall 클래스를 활용하여 PSEXESVC 또는 RemCom_communication 같은 이름으로 서비스 등록
- SCManager를 통해 \\\\PIPE\\\\svcctl로 RPC DCE/RPC 호출 실행
명령 실행 및 결과 반환
- cmd.exe 실행 후 표준 출력(STDOUT) 및 표준 오류(STDERR) 리디렉션
- RemoteStdInPipe, RemoteStdOutPipe, RemoteStdErrPipe 클래스를 통해 명령 실행 결과 전달

원격 로그인 이벤트 (Pass-the-Hash 탐지)
- [AD FS] Event ID 4672 (Special Logon)
원격 서비스 설치 탐지
- [AD FS] Event ID 7045 (서비스 설치)
  - %systemroot%\ 아래 랜덤한 8자리 문자열로 .exe 업로드됨
원격 공유 접근 (SMB 활동)
- [AD FS] Event ID 5140 & 5145 (SMB 접근)
  - 공유된 리소스 이름: IPC$, ADMIN$
  - SMB를 통해 원격 명령 실행 시도
원격 프로세스 실행 (cmd.exe)
- [AD FS] Event ID 4688 (프로세스 생성)
  - 2.에서 생성한 서비스가 Creator Process Name이 되고, SYSTEM 권한으로 cmd가 실행되는 것을 확인할 수 있음

Last updated 11 months ago