Impacket 분석

Impacket 기반 활동을 탐지하기 위한 프로토콜 수준 및 구현 수준의 침해 지표(IoC)에 대한 공개 참고 자료입니다.

제가 잘못 기술했다고 생각되는 부분이 있거나 피드백이 있거나 특정 프로토콜이나 구현에 대한 지문(fingerprints)을 추가하기를 원하시면 자유롭게 이슈를 열어주세요.

개요

이 저장소에는 제가 현재 직장에서 수행한 Impacket 내부 재작성/포크 작업의 일부 노트를 담고 있습니다. 저는 Impacket과 여러 예제 도구에서 생성되는 내부 신호들을 많이 가져와서 다른 블루 및 레드 팀이 활용할 수 있도록 여기에 제공했습니다.

목표는 방어자가 임팩트 활동이 명령어 수준이나 아티팩트 수준을 넘어 프로토콜, 인증, 및 구현 층에서 어떻게 나타날 수 있는지를 이해하도록 돕는 것입니다. 레드 팀에게는 이 저장소가 운영자가 유사한 작업을 수행하여 툴킷의 운영 보안을 향상시키고, 도구를 분석하여 정상과 비정상을 구분하는 방법에 대한 청사진으로 활용되기를 바랍니다.

공격 도구 탐지는 주로 파일 이름, 서비스 이름, 임시 경로, 명령 출력 리디렉션, 예약된 작업 이름 등 표면적인 아티팩트에 초점을 맞춥니다. 이러한 탐지는 유용하지만 종종 쉽게 변경될 수 있습니다.

이 프로젝트는 일부 표면적 탐지도 포함하고 있지만, 더 깊은 신호에 집중하려 합니다: Kerberos 요청 구성, NTLMSSP 필드, SPNEG

---

🌐 본 텍스트는 빠른 이해를 돕기 위한 요약 번역본입니다. 정확한 기술 정보 및 전체 코드는 GitHub 원문에서 확인하실 수 있습니다.