피드로 돌아가기
Dev.toSecurity
원문 읽기
초기 진입 후 지속적 제어권 확보를 위한 3대 Persistence 전략 분석
Week 10 & 11
AI 요약
Context
초기 취약점 공격 성공 후 관리자의 패치나 시스템 hardening으로 인한 접근 권한 상실 위험 존재. 반복적인 침투 단계의 리소스 낭비를 방지하고 안정적인 제어 경로를 유지하기 위한 구조적 접근 필요.
Technical Solution
- Process Injection을 통한 정당한 프로세스 메모리 영역 내 shellcode 삽입으로 독립 프로세스 생성 없는 권한 상속 구조 설계
- DNS, HTTP/HTTPS, SSH 등 신뢰된 outbound 채널을 활용한 Protocol Tunneling으로 perimeter defense 및 egress rule 우회
- HTTP Cookie 헤더를 이용한 C2 통신 파라미터 은닉으로 네트워크 탐지 회피 및 PHP 런타임 기반의 Web shell 실행 체계 구축
- Meterpreter 기반의 reverse_tcp 페이로드를 활용해 웹 데몬 런타임 내에서 대기 핸들러로의 인터랙티브 세션 연결 구조 구현
- OS Backdoor, Protocol Tunneling, Web-Based Backdoor의 계층적 배치를 통한 다중 진입 경로 확보
실천 포인트
- 프로세스 메모리 변조 및 비정상적인 PID 권한 상속 여부 모니터링 - DNS 및 ICMP 트래픽 내 비정상적인 데이터 캡슐화 패턴 분석 - HTTP Cookie 및 헤더 내 실행 가능한 명령문 포함 여부 검사 - 웹 애플리케이션 소스 코드 내 비정상적인 PHP 실행 함수(system, shell_exec 등) 사용 제한