본문 바로가기
Security/News

MITRE Att@ck - T1569.002 - Will execute a command on the remote host with Impacket psexec.py script

by 올엠 2022. 4. 15.
반응형

MITRE Att@ck 공격 기법중 psexec.py script를 통한 방법이 새로 업데이트 되어 공유한다.

새로 업데이트된 공격 기법은 Linux에서 psexec.py를 Python 모듈중 impacket이라는 윈도우 SMB 인증 도구를 통해 원격 컴퓨터를 공격을 시도 하는 방식이다.

공격 코드는 다음과 같다.

psexec.py '#{domain}/#{username}:#{password}@#{remote_host}' '#{command}'

실행을 위해서는 impacket을 설치해야 한다.

sudo pip3 install impacket

탐지방안

따라서 impacket 설치를 탐지하거나, psexec.py의 실행, 혹은 네트워크상의 SMB 인증중 리눅스 시스템에서 발생하는 건에 대해 탐지하는 방안을 활용하면 좋을 것이다.

 

 

#### Inputs:
| Name | Description | Type | Default Value |
|------|-------------|------|---------------|
| remote_host | Remote hostname or IP address | String | 127.0.0.1|
| username | Username | String | Administrator|
| domain | Target domain | String | |
| password | Password | String | P@ssw0rd1|
| command | Command to execute in target computer | String | whoami|


#### Attack Commands: Run with `bash`! 


```bash
psexec.py '#{domain}/#{username}:#{password}@#{remote_host}' '#{command}'
```




#### Dependencies:  Run with `bash`!
##### Description: psexec.py (Impacket)
##### Check Prereq Commands:
```bash
if [ -x "$(command -v psexec.py)" ]; then exit 0; else exit 1; fi;
```
##### Get Prereq Commands:
```bash
sudo pip3 install impacket
```

 

 

원본 참조

Generate docs from job=generate_and_commit_guids_and_docs branch=mast… · redcanaryco/atomic-red-team@72fc6bd · GitHub

 

Generate docs from job=generate_and_commit_guids_and_docs branch=mast… · redcanaryco/atomic-red-team@72fc6bd

…er [skip ci]

github.com

 

반응형

태그

, ,

댓글0