[Network] 3. ATT&CK 전략과 네트워크 위협

ATT&CK와 TTPs

TTPs 방법론

여러 해킹 기법들의 진화로 사이버보안 팀 내에서 새로운 전략, 방법론이 제시됨
TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용
특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함

 

특정 악성코드 변종 예시

• 특정 공격 패턴
• 공격자가 사용하는 인프라
• 피해자 공격 대상

TTPs 방법론(MITRE)

- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시
- ATT&CK : Adversarial Tactics, Techniques, and Common Knowledge의 약자

전략(Tactics)

Initial Access

- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는 공격 벡터를 의미

 

전술(Techniques)
> Valid Accounts : 공격자는 Credential Access(신뢰된 접근)을 이용하여 서비스 계정의 증명을 훔쳐 초기 접근 권한을 획득하는 기술
> Spearphishing link : 스피어 피싱의 변종으로 이메일 내 첨부파일이 자체 차단하는 것을 대신하여 악의적인 링크를 포함하여 보낸다는 점에서 차이가 존재하는 기술
> Supply Chain Compromise : 데이터 또는 시스템을 손상시키기 위해 최종 소비자가 제품을 수령하기 전에 제품 또는 전달 메커니즘을 조작하는 기술

 

 

Execution

- 로컬 또는 원격 시스템에서 공격자가 만든 코드를 실행하는 기술
- 종종 lateral movement 기술과 혼용하여 사용되기도 함

전술(Techniques)
> Execution through AP : 시스템 API를 통하여 바이너리 파일을 실행하는 공격
> Command-Line Interface : 운영체제 플랫폼의 많은 명령어를 이용한 공격 기술
> PowerShell : 윈도우 운영체제 내 존재하는 Command-Line Interface와 스크립트를 이용한 공격
> Source : 명령 쉘 또는 실행 파일을 이용하여 공격하는 기술

 

 

Persistence

- 시스템에 대한 접근, 조치, 구성 변경을 이용하여 지속적으로 존재하는 공격
- 시스템 재시작, 접근 실패 등으로 인한 시스템 재접근이 가능하도록 재실행 또는 백도어로 대체

 

전술(Techniques)
> External Remote Services : VPN과 같이 외부로부터 연결 서비스를 허용하는 기술
> Hypervisor : 운영시스템 내 하이퍼바이저 기능을 활용하여 루트킷의 기능으로 사용하는 기술
> Modify Existing Service : 기존 서비스를 수정하여 공격자가 원하는 방향으로 실행하는 기술
> Registry Run Keys / Start Floder : 시작프로그램을 등록하여 재시작 시 자동 실행하는 기술
> Web Shell : 웹 서버내 웹 쉘을 등록하여 원하는 시점에 웹 쉘을 통해 시스템에 접근하는 기술

 

 

Privilege Escalation

- 공격자가 시스템이나 네트워크에서 더 높은 수준의 사용 권한을 얻는 공격
- 주로 시스템의 약점을 이용하여 로컬 관리자 또는 시스템의 권한을 얻음

 

전술(Techniques)
> Bypass User Account Control : 사용자 접근 통제를 우회하여 상위 권한을 획득하는 기술
> DLL Injection : 실행되는 프로그램이 불러오는 DLL의 값을 수정하여 상위 권한을 획득하는 기술
> Exploitaion of Vulnerability : 취약점을 이용한 침투를 통해 상위 권한을 획득하는 기술
> Setuid and Setgid : 유닉스 계열 운영체제 중 Setuid, Setgid 권한을 이용 상위 권한 획득하는 기술

 

반응형

Defense Evasion

- 시스템을 방어하기 위해 설치된 시스템의 탐지를 회피하거나 방어를 우회하는 공격
- 방어 우회로 이득이 생기는 다른 범주들과 유사함

 

전술(Techniques)
> Bypass User Account Control : 사용자 접근 통제를 우회하여 상위 권한을 획득하는 기술
> Binary Padding : 실행 파일의 변경을 이용해 변경된 파일 해쉬 값 탐지 방어를 우회하는 기술
> Rootkit : 시스템의 API를 수정하여 악성코드가 보이지 않도록 하는 기술
> Hidden Files and Directories / Users / Window : 파일, 디렉터리, 사용자, 윈도 등 숨기는 기술

 

Credential Access

- 상업 환경에서 사용되는 시스템, 도메인, 서비스 자격 증명에 접근, 통제하는 기술
- 공격자는 관리자 또는 사용자 계정으로부터 정상적인 자격 증명을 얻으려고 시도함
- 정상적인 자격증명 과정으로 탐지가 어려움이 존재

 

전술(Techniques)
> Brute Force : 무작위로 값을 대입하여 패스워드 정보를 탈취하는 공격 기술
> Create Account : 시스템에 충분한 권한이 있는 계정을 생성하여 공격자가 쉽게 접근하는 기술
> Exploitation of Vulnerability : 취약점을 이용하여 권한이 있는 정상적인 계정에 접근하는 기술
> Network Sniffing : 네트워크 정보를 모니터하여 패킷 정보 내 계정 정보를 탈취 후 접근하는 기술
> Private Keys : 시스템 내 곚어계정 정보 또는 키로깅을 통하여 계정 정보 탈취 후 접근하는 기술

 

Discovery

- 공격자가 시스템에 대한 지식을 얻을 수 있는 기술
- 시스템 내에 있는 자산의 가치를 파악하고 목표 방향을 잡을 수 있는 도움을 제공

 

전술(Techniques)
> Account Discovery : 시스템 또는 도메인 계정의 리스트를 추출하는 공격 기술
> File and Directory Discovery : 시스템 내 파일과 디렉터리 리스트를 추출하는 공격 기술
> Nework Service Scanning : 시스템 내 어떤 네트워크 서비스를 제공하는지 추출하는 공격 기술
> Remote System Discovery : 원격 시스템 정보를 추출하는 공격 기술
> System Time Discovery : 산업 환경 내 동기화 시간 정보들을 추출하는 공격 기술

 

Lateral Movement

- 원격 접속 도구없이 원격에 위치한 시스템의 네트워크를 이동하여 공격 또는 탐색하는 기술
- 공격자와의 실시간 연결이 아니기 때문에 네트워크 전역의 불필요 행위를 할 수도 있음

 

전술(Techniques)
> Logon Scripts : 시스템에 로그인 시 실행하는 스크립트를 이용한 기술
> Remote Service : 공격자는 터미널 서비스에 로그인하는 사용자를 통해 공격하는 기술
> Windows Admin Share : 관리자만 접근 가능한 숨겨진 네트워크(C$, ADMIN$)를 통한 공격 기술
> Windows Remote Mangement : winrm와 같은 명령어를 윈도우 서비스 프로토콜을 이용한 기술

 

Collection

- 민감 데이터, 파일 정보를 식별하고 수집하는데 사용되는 기술
- 공격자가 정보를 검색할 수 있는 시스템 또는 네트워크 인프라를 정보 수집을 포함

 

전술(Techniques)
> Audio Capture : 컴퓨터 장치 또는 애플리케이션 내부의 오디오 녹음 기능을 이용한 도청 기술
> Clipboard Data : 클립보드 내에 있는 정보를 수집
> Data from Local System / Netwrok Shared Drive / Removable Media : 로컬 시스템, 네트워크 공유 드라이버, 삭제된 미디어 데이터를 식별 및 수집하는 기술
> Input Capture / Screen Capture : 입력 값(Ex, 키로깅) / 스크린 샷 정보들을 수집하는 기술

 

Command and Control

- 대상 네트워크 내에서 상대방이 공격자 통제 내에 있는 시스템과 통신하는 기술
- 시스템 구성 및 네트워크 방식에 따라 다양하고 은밀한 수준의 명령, 제어 설정 기술은 다수 존재

 

전술(Techniques)
> Commonly Used Port : 공격자는 커뮤니케이션을 위해 방화벽, IDS 등의 탐지 도는 차단을 우회하는 포트를 사용하여 공격하는 기술
> Connection Proxy : 시스템 간에 네트워크 연결하는 중개기를 통해 명령을 전달하는 기술
> Remote File Copy : 한 시스템에서 다른 시스템으로 복사되어 도구나 다른 파일을 준비하는 기술

 

Exfiltration

- 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 기술로 구성
- 탐지를 피해 데이터 압축 또는 암호화 등의 기술을 사용하여 탈취

 

전술(Techniques)
> Data Compressed : 데이터가 유입 차단이 되기 전 데이터를 분할하거나 명령을 압축하는 기술
> Data Encrypted : 탐지 우회 또는 누출을 막기 위해 데이터를 암호화하는 기술
> Exfiltration Over Alternative Protocol : 메인 프로토콜이 아닌 다른 프로토콜을 이용하는 기술

 

Impact

- 비즈니스 및 운영 프로세스를 조작하여 공격자가 가용성을 방해하거나 무결성을 손상시키는 전략
- 공격자들이 최종 목표를 위해 수행하거나 기밀성 침해 공격을 덮기 위해 사용할 수 있음

 

전술(Techniques)
> Network Denial of Service : DoS 공격을 수행하여 사용자의 대상 자원의 가용성을 저하시키거나 차단하는 공격을 수행
> Data Encrypted for Impact : 특정 대상 또는 많은 양의 대상 시스템들의 데이터를 암호화하고 복호화 키에 대한 접근을 보류하여 데이터를 접근할 수 없도록 수행
> System Shutdown/Reboot : 공격자가 임의로 시스템을 종료시키거나 재부팅

 

[Network] 4. 네트워크 분석 도구 소개 및 활용 - Wireshark

[Network] 4. 네트워크 분석 도구 소개 및 활용 - Wireshark

 

[Network] 5. 네트워크 스캐닝

[Network] 5. 네트워크 스캐닝