작동 방식

서비스 이진 파일이 SMB를 통해 원격으로 실행되는 방법을 설명하는 아래 단계에 대한 프로세스:

1. ADMIN$ 공유로 서비스 이진 파일 복사를 수행합니다.

2. 원격 기계에 서비스 생성은 바이너리를 가리킵니다.

3. 서비스가 원격으로 시작됩니다.

4. 종료시, 서비스가 중지되고 바이너리가 삭제됩니다.

PsExec 수동 실행 프로세스

msfvenom으로 생성되고 Veil을 사용하여 안티바이러스 감지를 회피하기 위해 난독화된 실행 가능한 페이로드인 'met8888.exe'라는 이름의 페이로드가 있다고 가정하면, 다음 단계가 수행됩니다:

• 바이너리 복사: 실행 파일은 명령 프롬프트에서 ADMIN$ 공유로 복사되지만 숨겨지기 위해 파일 시스템의 어디에나 배치될 수 있습니다.

• 서비스 생성: Windows sc 명령을 사용하여 원격으로 Windows 서비스를 조회, 생성 및 삭제할 수 있는 "meterpreter"라는 서비스가 업로드된 바이너리를 가리키도록 생성됩니다.

• 서비스 시작: 마지막 단계는 서비스를 시작하는 것으로, 이는 바이너리가 진짜 서비스 바이너리가 아니기 때문에 예상된 응답 코드를 반환하지 못하고 "시간 초과" 오류가 발생할 가능성이 높습니다. 이 오류는 주된 목표인 바이너리 실행에는 영향을 미치지 않습니다.

Metasploit 리스너를 관찰하면 세션이 성공적으로 시작된 것을 확인할 수 있습니다.

sc 명령에 대해 더 알아보기.

자세한 단계는 여기에서 확인하세요: https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/

Windows Sysinternals 바이너리 PsExec.exe를 사용할 수도 있습니다:

SharpLateral를 사용할 수도 있습니다:

SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe.exe malware.exe ServiceName