작은 메모장

MITRE ATT&CK 프레임 워크 (2) 본문

KISA 사이버 보안 훈련/스피어피싱 대응 기본

MITRE ATT&CK 프레임 워크 (2)

으앙내눈 2023. 5. 17. 12:52

ATT&CK의 택틱 중 하나를 예시로 분석

Initial Access tactic
Phishing technique의 subtechnique

Initial Access 택틱은 거점 시스템을 접근해서 통제를 하는 것이 목표인 택틱

이를 달성하기 위해 어떻게 해야하는가를 테크닉으로 분류

 

한 가지 표적시스템을 점유하여 익스플로잇을 통해 접근 및 통제를 하는 Drive-by-Compromise 테크닉

스피어 피싱 메일을 보내서 표적 네트워크에 있는 시스템 엔드포인트를 점유하는 Phishing 테크닉

여러 종류로 구성되어 있음

 

그럼 ATT&CK의 모든 택틱은 순서대로 작성이 되어 있는가?

단순하게 택틱은 순서를 따라 작성되어 있지 않음

언제든지 변경될 수 있고, 수정될 수 있음

공격자의 입장에서 보면서 어떤 택틱을 선행해야 하는지 판단해야 함

 

가령, 스피어 피싱을 통해 C&C 서버 통제는 했는데,

일반 유저의 권한이라 계정에 담긴 파일같은 중요한 정보에 접근을 못한다면

당연히 그 다음으로 수행되어야할 것은 Privilege Escalation같은 권한 상승을 목표로 택틱을 수행할 것

그러나, 이미 계정이 관리자인 경우에는 권한 상승 택틱이 필요 없어짐

이런 다양한 상황을 가정하고 택틱을 선택

 

그렇다면 스피어 피싱은 어떻게 수행되는가?

스피어 피싱은 일종의 테크닉으로, 악성 링크나 악성 PDF 혹은 DOC를 첨부하여 공격하는 방식

첨부하는 종류에 따라서 공격이 나뉨

PDF, RTF, DOCX등을 첨부하는 기술을 Spearphishing Attachment라 칭함

이 Attachment 테크닉 안에서도 파일 유형, 유형별 공격 방식에 따른 공격 행위가 세분화되어있음

때문에,

- 어떤 스피어 피싱 서브테크닉을 사용하는가?

- 어떤 서비스를 제공하여 악성행위를 하는가?

- 어떤 파일을 첨부하여 공격을 수행하는가?

이런 Procedure를 특정하여 공격을 세분화 후 분석해야 함

 

종합적으로...

공격자가 어떤 공격을 사용하는데 빈번하게 사용하는 테크닉, 택틱, 프로시저가 있으며,

이를 모아서 TTP(Tactics, Technique, Procedure)라고 칭함

이러한 TTP를 각 해커그룹이 빈번하게 사용하는 TTP를 지정하여 이에 대응하도록 함

즉, TTP를 이용해 공격자들의 특정을 정의하고 프로파일링하는 것이 ATT&CK의 목적

 

더불어, 침해사고 대응을 하는 곳에서는 상황 분석과 대응이 매우 빨라짐

침해사고 발생시 특정한 TTP가 감지될 것이고,

이 TTP에 해당하는 프로파일을 찾아 이에 알맞게 대응 및 추가분석하면 탄력적인 대응이 가능함

가령, 특정 TTP에 해당하는 해커그룹이 사용하는 다른 TTP를 추가로 분석하여 보다 명확한 탐지 또한 가능