A. 사이버 킬 체인의 이해
1) 사이버 킬 체인
- 전통적인 킬 체인
-> 1992년 걸프전 당시, 미 공군이 처음 사용
-> 이를 통해 적의 공격 시설을 탐지하여 파괴 - F2T2EA 구성 방식을 가짐
> Find : 대상의 위치 파악
> Fix : 위치 수정 및 대상의 이동을 제재함
> Track : 대상의 움직임을 모니터링
> Target : 대상에 사용할 무기를 선정, 원하는 목적을 수행
> Engage : 대상에 무기를 사용
> Assess : 대상에 적용한 무기와 사용 이후의 정보를 수집하여 공격의 영향을 평가
- 최근 침투 동향은 군사적인 용어인 킬 체인(Kill Chain)을 사이버 세계에 접목한 사이버 킬 체인(Cyber Kill Chain) 언급
-> 록히드 마틴에서 언급한 킬 체인을 사이버 보안으로 접목
> 정찰 수행 ( Reconnaissance ) : 공격 대상의 정보를 조사
> 무기 준비 ( Weaponization ) : 공격에 사용할 악성코드나 도구들을 준비
> 공격 전달 ( Delivery ) : 악성코드를 감염시키거나 공격하기 위해 공격을 수행
> 공격 실행 ( Exploitation ) : 전달한 공격이 다양한 조건에 따라 실행
> 무기 설치 ( Installation ) : 전달한 공격이 실행되어 악성코드와 같은 무기가 설치됨
> 연결 제어 ( Command and Control ) : 무기가 설치되면 원격에서 연결되어 통제할 수 있는지 확인
> 공격 활동 ( Action on Target ) : 공격당한 대상에서 공격을 수행
B. MITRE의 ATT&CK와 TTPs 이해
- 여러 해킹 기법들의 진화로 사이버 보안 팀 내에서 새로운 전략, 방법론이 제시됨
- TTPs는 Tactis, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용
- 특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미함
- TTPs 구분의 예
> 특정 악성코드 집단의 특성 분석
> 특정 악성코드 변종 예
> 특정 공격 패턴
> 공격자가 사용하는 인프라
> 피해자 공격 대상
- MITRE는 TTPs 방법론을 적용하여 여러 공격 전략을 구분하여 제시
-> ATT&CK ( Adversarial Tactics, Techniques, and Common Knowledge의 약자 )
1) Initial Access
- 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는 공격 벡터를 의미
전술(Techniques)
> Valid Accounts : 공격자는 Credential Access(신뢰된 접근)을 이용하여 서비스 계정의 증명을 훔쳐 초기 접근 권한을 획득하는 기술
> Spearphishing link : 스피어 피싱의 변종으로 이메일 내 첨부파일이 자체 차단하는 것을 대신하여 악의적인 링크를 포함하여 보낸다는 점에서 차이가 존재하는 기술
> Supply Chain Compromise : 데이터 또는 시스템을 손상시키기 위해 최종 소비자가 제품을 수령하기 전에 제품 또는 전달 메커니즘을 조작하는 기술
2) Execution
- 로컬 또는 원격 시스템에서 공격자가 만든 코드를 실행하는 기술
- 종종 lateral movement 기술과 혼용하여 사용되기도 함
전술(Techniques)
> Execution through AP : 시스템 API를 통하여 바이너리 파일을 실행하는 공격
> Command-Line Interface : 운영체제 플랫폼의 많은 명령어를 이용한 공격 기술
> PowerShell : 윈도우 운영체제 내 존재하는 Command-Line Interface와 스크립트를 이용한 공격
> Source : 명령 쉘 또는 실행 파일을 이용하여 공격하는 기술
3) Persistence
- 시스템에 대한 접근, 조치, 구성 변경을 이용하여 지속적으로 존재하는 공격
- 시스템 재시작, 접근 실패 등으로 인한 시스템 재접근이 가능하도록 재실행 또는 백도어로 대체
전술(Techniques)
> External Remote Services : VPN과 같이 외부로부터 연결 서비스를 허용하는 기술
> Hypervisor : 운영시스템 내 하이퍼바이저 기능을 활용하여 루트킷의 기능으로 사용하는 기술
> Modify Existing Service : 기존 서비스를 수정하여 공격자가 원하는 방향으로 실행하는 기술
> Registry Run Keys / Start Floder : 시작프로그램을 등록하여 재시작 시 자동 실행하는 기술
> Web Shell : 웹 서버내 웹 쉘을 등록하여 원하는 시점에 웹 쉘을 통해 시스템에 접근하는 기술
4) Privilege Escalation
- 공격자가 시스템이나 네트워크에서 더 높은 수준의 사용 권한을 얻는 공격
- 주로 시스템의 약점을 이용하여 로컬 관리자 또는 시스템의 권한을 얻음
전술(Techniques)
> Bypass User Account Control : 사용자 접근 통제를 우회하여 상위 권한을 획득하는 기술
> DLL Injection : 실행되는 프로그램이 불러오는 DLL의 값을 수정하여 상위 권한을 획득하는 기술
> Exploitaion of Vulnerability : 취약점을 이용한 침투를 통해 상위 권한을 획득하는 기술
> Setuid and Setgid : 유닉스 계열 운영체제 중 Setuid, Setgid 권한을 이용 상위 권한 획득하는 기술
5) Defense Evasion
- 시스템을 방어하기 위해 설치된 시스템의 탐지를 회피하거나 방어를 우회하는 공격
- 방어 우회로 이득이 생기는 다른 범주들과 유사함
전술(Techniques)
> Bypass User Account Control : 사용자 접근 통제를 우회하여 상위 권한을 획득하는 기술
> Binary Padding : 실행 파일의 변경을 이용해 변경된 파일 해쉬 값 탐지 방어를 우회하는 기술
> Rootkit : 시스템의 API를 수정하여 악성코드가 보이지 않도록 하는 기술
> Hidden Files and Directories / Users / Window : 파일, 디렉터리, 사용자, 윈도 등 숨기는 기술
6) Credential Access
- 상업 환경에서 사용되는 시스템, 도메인, 서비스 자격 증명에 접근, 통제하는 기술
- 공격자는 관리자 또는 사용자 계정으로부터 정상적인 자격 증명을 얻으려고 시도함
- 정상적인 자격증명 과정으로 탐지가 어려움이 존재
전술(Techniques)
> Brute Force : 무작위로 값을 대입하여 패스워드 정보를 탈취하는 공격 기술
> Create Account : 시스템에 충분한 권한이 있는 계정을 생성하여 공격자가 쉽게 접근하는 기술
> Exploitation of Vulnerability : 취약점을 이용하여 권한이 있는 정상적인 계정에 접근하는 기술
> Network Sniffing : 네트워크 정보를 모니터하여 패킷 정보 내 계정 정보를 탈취 후 접근하는 기술
> Private Keys : 시스템 내 곚어계정 정보 또는 키로깅을 통하여 계정 정보 탈취 후 접근하는 기술
7) Discovery
- 공격자가 시스템에 대한 지식을 얻을 수 있는 기술
- 시스템 내에 있는 자산의 가치를 파악하고 목표 방향을 잡을 수 있는 도움을 제공
전술(Techniques)
> Account Discovery : 시스템 또는 도메인 계정의 리스트를 추출하는 공격 기술
> File and Directory Discovery : 시스템 내 파일과 디렉터리 리스트를 추출하는 공격 기술
> Nework Service Scanning : 시스템 내 어떤 네트워크 서비스를 제공하는지 추출하는 공격 기술
> Remote System Discovery : 원격 시스템 정보를 추출하는 공격 기술
> System Time Discovery : 산업 환경 내 동기화 시간 정보들을 추출하는 공격 기술
8) Lateral Movement
- 원격 접속 도구없이 원격에 위치한 시스템의 네트워크를 이동하여 공격 또는 탐색하는 기술
- 공격자와의 실시간 연결이 아니기 때문에 네트워크 전역의 불필요 행위를 할 수도 있음
전술(Techniques)
> Logon Scripts : 시스템에 로그인 시 실행하는 스크립트를 이용한 기술
> Remote Service : 공격자는 터미널 서비스에 로그인하는 사용자를 통해 공격하는 기술
> Windows Admin Share : 관리자만 접근 가능한 숨겨진 네트워크(C$, ADMIN$)를 통한 공격 기술
> Windows Remote Mangement : winrm와 같은 명령어를 윈도우 서비스 프로토콜을 이용한 기술
9) Collection
- 민감 데이터, 파일 정보를 식별하고 수집하는데 사용되는 기술
- 공격자가 정보를 검색할 수 있는 시스템 또는 네트워크 인프라를 정보 수집을 포함
전술(Techniques)
> Audio Capture : 컴퓨터 장치 또는 애플리케이션 내부의 오디오 녹음 기능을 이용한 도청 기술
> Clipboard Data : 클립보드 내에 있는 정보를 수집
> Data from Local System / Netwrok Shared Drive / Removable Media : 로컬 시스템, 네트워크 공유 드라이버, 삭제된 미디어 데이터를 식별 및 수집하는 기술
> Input Capture / Screen Capture : 입력 값(Ex, 키로깅) / 스크린 샷 정보들을 수집하는 기술
10) Command and Control
- 대상 네트워크 내에서 상대방이 공격자 통제 내에 있는 시스템과 통신하는 기술
- 시스템 구성 및 네트워크 방식에 따라 다양하고 은밀한 수준의 명령, 제어 설정 기술은 다수 존재
전술(Techniques)
> Commonly Used Port : 공격자는 커뮤니케이션을 위해 방화벽, IDS 등의 탐지 도는 차단을 우회하는 포트를 사용하여 공격하는 기술
> Connection Proxy : 시스템 간에 네트워크 연결하는 중개기를 통해 명령을 전달하는 기술
> Remote File Copy : 한 시스템에서 다른 시스템으로 복사되어 도구나 다른 파일을 준비하는 기술
11) Exfiltration
- 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 기술로 구성
- 탐지를 피해 데이터 압축 또는 암호화 등의 기술을 사용하여 탈취
전술(Techniques)
> Data Compressed : 데이터가 유입 차단이 되기 전 데이터를 분할하거나 명령을 압축하는 기술
> Data Encrypted : 탐지 우회 또는 누출을 막기 위해 데이터를 암호화하는 기술
> Exfiltration Over Alternative Protocol : 메인 프로토콜이 아닌 다른 프로토콜을 이용하는 기술
12) Impact
- 비즈니스 및 운영 프로세스를 조작하여 공격자가 가용성을 방해하거나 무결성을 손상시키는 전략
- 공격자들이 최종 목표를 위해 수행하거나 기밀성 침해 공격을 덮기 위해 사용할 수 있음
전술(Techniques)
> Network Denial of Service : DoS 공격을 수행하여 사용자의 대상 자원의 가용성을 저하시키거나 차단하는 공격을 수행
> Data Encrypted for Impact : 특정 대상 또는 많은 양의 대상 시스템들의 데이터를 암호화하고 복호화 키에 대한 접근을 보류하여 데이터를 접근할 수 없도록 수행
> System Shutdown/Reboot : 공격자가 임의로 시스템을 종료시키거나 재부팅
MITRE ATT&CK®
attack.mitre.org
[보안] 06. 랜섬웨어 정의, 역사, 특징, 종류, 감염 경로 - 하이브리드 암호 시스템, Crypt0L0CKER, Locky,
A. 랜섬웨어 정의 1) 랜섬웨어는 몸값을 요구하여 협박하는 Ransom과 제품을 의미하는 Ware의 합성어 - 몸값을 요구하기 위한 다양한 방법을 사용 -> 암호학을 이용 -> 비암호학을 이용 - 보통 Locker
infoofit.tistory.com
[보안] 07. 악성코드 유입 경로 - 클릭 사기, Weak Point, Lateral Movement, Modificaition Attack, Kooface 악성코드
[보안] 07. 악성코드 유입 경로 - 클릭 사기, Weak Point, Lateral Movement, Modificaition Attack, Kooface 악성코
A. 악성코드 주요 유입 경로 B. 실제 악용된 사례 분석 1) 사회 공학적 기법- 클릭 사기 ( Click Fraud ) -> 사용자가 필요한 형태로 악성코드를 위장 -> 윈도우 제품 인증 프로그램 -> 엔터테
infoofit.tistory.com
[TIP] Windows 10/11 포맷하는 방법 - 초기화하기, 주의사항
[TIP] Windows 10/11 포맷하는 방법 - 초기화하기, 주의사항
A. Windows 10/11 포맷하는 방법이미 윈도우를 쓰고 계시는 분들, 윈도우는 다시 깔 필요없이 간단하게 윈도우 상에서 초기화를 진행하는 방법 알려드리겠습니다. 컴퓨터 출장 기사 부르실 필요가
infoofit.tistory.com