SOC Prime Bias: 중간

25 3월 2026 18:25
newspaper icon picussecurity.com

T1547.001의 MITRE ATT&CK: 레지스트리 실행 키 및 시작 폴더 설명

Author Photo
Ruslan Mikhalov SOC Prime에서 위협 연구 책임자 linkedin icon 팔로우
T1547.001의 MITRE ATT&CK: 레지스트리 실행 키 및 시작 폴더 설명
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

이 기사는 공격자가 Windows 레지스트리 실행 키와 시작 폴더를 악용하여 손상된 시스템에서 지속성을 유지하는 방법에 대해 설명합니다. 공격자가 일반적으로 타겟으로 삼는 주요 레지스트리 경로 및 파일 시스템 위치를 설명합니다. 실제 사례에는 CABINETRAT 멀웨어와 AdaptixC2 비컨이 포함됩니다. 이 활동은 MITRE ATT&CK 프레임워크에서 지속성 하위 기술인 T1547.001로 추적됩니다.

조사

Picus Security의 연구원들이 2025년 10월에 CABINETRAT 캠페인을 문서화하였으며, 실행 키를 생성하여 cmd.exe를 실행했습니다. 별도의 2025년 9월 사례에서는 분석가들이 PowerShell 스크립트를 통해 payload를 AppData에 복사하고 AdaptixC2 프레임워크를 위한 바로 가기를 시작 폴더에 생성하는 것을 관찰했습니다. 두 가지 사례 모두 실행 키와 시작 바로 가기가 실제 공격에서 여전히 유효한 지속성 방법임을 보여줍니다.

완화

방어자는 잘 알려진 실행 키와 시작 폴더 경로의 생성 또는 수정을 지속적으로 모니터링해야 합니다. 조직은 보호된 레지스트리 감사 기능을 활성화하고, 사용자 계정에 최소 권한 제어를 적용하며, 애플리케이션 제어를 사용하여 허가되지 않은 스크립트와 바로 가기 파일이 이러한 위치에 작성되지 않도록 차단해야 합니다.

대응

의심스러운 실행 키 또는 시작 폴더 활동이 감지되면, 영향을 받은 엔드포인트를 격리하고, 변경된 레지스트리 값과 관련 파일을 수집하며, 포렌식 분석을 시작해야 합니다. 악성 지속성 항목을 제거하고, 관련 프로세스를 중지하며, 침해된 자격 증명을 재설정합니다. 그런 다음 탐지 규칙을 업데이트하여 관찰된 지표를 캡처해야 합니다.

공격 흐름

이 부분은 아직 업데이트 중입니다. 알림을 받으려면 등록하세요.

알림 받기

시뮬레이션 실행

전제조건: 원격 측정 및 기준 테스트 비행 검사를 통과해야 합니다.

이유: 이 섹션은 적의 기법(T1547.001)을 기반으로 하는 탐지 규칙을 발동하기 위한 정확한 실행을 상세히 설명합니다. 명령어와 설명은 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.

  • 공격 서술 및 명령어:
    관리자 권한을 획득한 공격자는 악성 payload (C:Tempevil.exe)의 지속적인 실행을 원합니다. 은밀함을 유지하기 위해 그들은 고전적인 ‘생활 속의 방편’ 방법을 선택합니다: payload 경로를 HKLMSoftwareMicrosoftWindowsCurrentVersionRun 키에 작성하여 시스템이 부팅될 때마다 실행을 보장합니다. 이 키는 잘 알려진 자동 시작 위치이기 때문에 탐지 규칙의 초점과 완벽하게 일치합니다.

    1. 악성 실행 파일을 생성합니다 (단순 복사로 시뮬레이션) cmd.exe).
    2. 악성 실행 파일을 가리키는 새 문자열 값을 추가합니다. EvilApp 레지스트리 항목이 존재하는지 확인합니다 (쓰기 이벤트를 생성합니다).
    3. 회귀 테스트 스크립트:

  • Regression Test Script:

    # -------------------------------------------------
# T1547.001 – 레지스트리 실행 키 지속성 시뮬레이션
# -------------------------------------------------
$payloadPath = "C:Tempevil.exe"

# 1. 무해한 stand-in payload 배포 (cmd.exe 복사)
New-Item -ItemType Directory -Path "C:Temp" -Force | Out-Null
Copy-Item -Path "$env:windirSystem32cmd.exe" -Destination $payloadPath -Force

# 2. 악성 실행 키 쓰기 (HKLM)
$runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
New-ItemProperty -Path $runKey -Name "EvilApp" -Value $payloadPath -PropertyType String -Force

# 3. 확인 출력 (옵션)
Write-Host "악성 실행 키 생성:" -ForegroundColor Yellow
Get-ItemProperty -Path $runKey -Name "EvilApp"
# -------------------------------------------------
# 시뮬레이션 스크립트 종료
# -------------------------------------------------

  • 정리 명령어:

    # -------------------------------------------------
# 시뮬레이션된 지속성 아티팩트 제거
# -------------------------------------------------
$runKey = "HKLM:SoftwareMicrosoftWindowsCurrentVersionRun"
Remove-ItemProperty -Path $runKey -Name "EvilApp" -ErrorAction SilentlyContinue

Remove-Item -Path "C:Tempevil.exe" -Force -ErrorAction SilentlyContinue
# -------------------------------------------------
# 정리 종료
# -------------------------------------------------

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입