사이버 공격 시뮬레이션에서 윈도우 자동 실행 기법은 지속성(Persistence) 확보 단계에 해당!

내가 활동하게 될 레드팀, 즉 공격자 입장에서 해당 실습이 어떤 의미를 가지는지 보자.

• 공격자 관점
  1. 한 번 시스템에 침투하더라도 재부팅되면 악성코드가 사라질 수 있음.
  2. 따라서 부팅 또는 로그인 시 자동 실행되도록 등록해두면 사용자가 컴퓨터를 꺼도 다시 살아남게 됨.
  3. 악성코드, 백도어, 키로거 등은 이 기법을 필수적으로 사용.

따라서 해당 과정은 **“공격자가 침투 후 어떻게 살아남는지”**에 대해 알아보는 실습이다.

1. 레지스트리 Run 키 악용

윈도우는 로그인할 때마다 특정 레지스트리 키에 등록된 프로그램을 자동 실행한다.

이때 공격자는 여기에 악성코드나 백도어 경로를 추가해 사용자 모르게 재실행되도록 만든다.

• 왜 좋은가?

  • 실행 시점이 보장됨 (로그인 순간)
  • 사용자 모르게 백그라운드 실행이 가능
  • 권한이 사용자 계정에 종속되어 UAC 우회가 필요 없는 경우도 있음

• 전술적 사용

  1. 사용자 계정 전용

     HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

     → 권한 상승 없이도 등록 가능. 흔히 피싱 후 초기 페이로드 유지에 사용.

  2. 시스템 전역

     HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

     → 관리자 권한 필요. 한번 등록하면 모든 계정에 적용.

• 위장 방법

  • 파일명: WindowsSecurityHealth.exe, svchost32.exe 같이 시스템 파일처럼 위장.
  • 경로: %APPDATA%, %TEMP%, %LOCALAPPDATA% 등 사용자 접근 가능한 폴더 활용.

2. 시작 프로그램 폴더(Startup Folder) 악용

윈도우는 Startup 폴더 안의 모든 프로그램을 로그인 시 실행한다.

공격자는 여기에 악성 실행파일 또는 바로가기(LNK)를 넣어 자동 실행을 확보한다.