nc.exe 와 windows 11 실시간 보호기능 관련

Question

windows 11에서 실시간 보호 기능을 꺼도, nc.exe -lvp 9999 하는 순간 해당 exe 파일을 제거하더라고요.   보안 설정에서 특정 폴더의 검사를 제외하는 식의 설정이 있어야 합니다. (이런 부분을 강의에서 추가 섹션으로 언급해 주시면 좋을 것 같습니다.)   그리고 그렇다면 실제 공격(?) 시나리오에서는 windows 보호 기능으로 인해 이런 통신 프로그램 들을 차단할 텐데, 공격자가 독자적인 프로그램을 개발해서 윈도우의 탐지를 우회해야 하는 것인지? 궁금하네요. 대부분의 exe가 smartscreen 등을 통해 차단되고 그러는 시대에 어떠한 방식이 적절한지 궁금합니다.   요새는 LOTL 같이 Windows에 내장된 powershell 등을 최대한 활용하는 방식이 흔하다고 들었습니다. 스크립트를 사용한다 하더라도 서비스를 띄우는 순간 포트 리스닝을 허용을 해야 하던데 이런 부분들은 어떻게 우회하는지 궁금합니다.

Yeop Chang · Answer

그러게요. 리버스 연결이다 보니 서버는 공격자 측에서 여는 것인데, 하나의 가상머신에서 모두 해결하다 보니 헷갈린 부분이 있었네요. 답변 감사드립니다.

크리핵티브 · Answer

안녕하세요. 실시간 보호 기능으로 실습에 방해되는 부분은 강의 내용 내 추가가 필요해보이네요. 실 환경에서 리버스 커넥션 시 netcat이 삭제가 될 경우 방법은 많이 있습니다. netcat을 팩킹하거나 스크립트 언어 혹은 다른 언어를 이용해 리버스 커넥션 작업을 수행하는 도구를 만들수도 있습니다. 말씀하신대로 파워쉘을 이요하는 방법도 있습니다. 공격 대상 서버 측은 포트를 리스닝하지 않고 단순 연결을 하며, 포트 리스닝은 공격자 PC 측에서 수행되는 것이라 문제가 발생될 건 없습니다. 감사합니다.