MITRE

nist 산하기관

• 사이버 뿐만 아니라 각종 위협들에 대해서 연구를 하고 결과물들을 고유하며
  의미있는 프로젝트들을 하는 비영리 단체 공간

CVE

• 다양한 취약점에 인덱스 번호를 부여해서 프레임 안에서 관리하는 것

BAS

Breach Attack Simulation

• 보안 솔루션 카테고리의 하나
• 방화벽, WAF와 같은 다이어그램

MITRE ATTACK 매트릭스

• 현재 활동하고있는 해커그룹들이 사용하는 기술들의 집합

Reconnaissance (정찰)

• 공격자가 작전 계획에 쓸만한 정보를 수집하는 기술

예시: 피해 조직, 인프라, 직원에 대한 세부 정보

수집한 정보로 나중에 초기 계획및 실행,
침해 후 목표범위나 우선순위 설정, 추가 정찰 활동 설정하는 데에
활용하는 정보

Resource Development (자원 개발)

• 공격시 사용할수 있는 리소스 확보

리소스를 생성,구매,손상,탈취하여 확보함

리소스 => 인프라, 계정, 기능, 도메인 ..
상세 예시: 피싱을 위한 이메일 계정, 구매한 도메인, 훔친 코드 서명 인증서 등등

Initial Access (초기 액세스)

• 공격자가 네트워크에 침입

다양한 진입루트를 이용하여 네트워크 내에서 초기 거점(권한) 확보
표적 스피어피싱과 웹 서버 취약점 악용 기술을 포함

초기 권한으로 유효계정, 원격서비스 온, 비밀번호 변경같은 걸 시도

Execution (실행)

• 공격자가 악성코드 실행

공격자의 코드가 로컬 또는 원격 시스템에서 실행되도록 하는 기술
네트워크 탐색, 데이터 탈취와 같은 더 큰 목표를 달성하기 위해 코드들을 실행

예시: 원격을 활용하여 윈도우 파워셀 스크립트 실행

Persistance (지속성)

• 공격자가 자신의 발판 유지

표적 컴 재시작, 자격 증명 변경, 기타 액세스 차단같은 경우에도 시스템에 대한 얻어낸 권한을 유지하기 위해 사용하는 기술

• 합법적인 코드 교체및 탈취, 시작코드를 추가하는 등 시스템 발판을 유지하기 위해서 액세스나 작업 구성을 변경하는 기술

Privilege Escalation (권한 에스컬레이션)

• 공격자가 더 높은 수준의 권한 얻음

시스템 약점, 잘못된 구성 및 취약점을 이용하여 권한을 상승시킴

• 지속성 기법과 겹치는 경우가 많음

예시: 시스템/root 수준
로컬 관리자
관라자와 유사한 권한을 가진 사용자 계정 등등

Defense Evasion (방어 회피)

• 공격자가 탐지되지 않게 함

탐지를 피하기 위해 사용하는 기술로 구성됨

예시: 보안 소프트웨어 제거/비활성화, 데이터나 스크립트 난독화/암호화
신뢰할수 있는 프로세스를 활용하고 악용하여 멀웨어를 숨기고 가장함

Credential Access (자격 증명 액세스)

• 공격자가 계정 이름과 비밀번호를 훔침

계정 이름과 비번같은 자격 증명을 훔치는 기술

• 키로깅, 자격 증명 덤핑 등등

Discovery(발견)

• 공격자가 사용자 환경 파악

시스템과 내부 네트워크에 대한 정보를 파악하기 위해 사용할수 있는 기술
기본 운영체제 도구를 주로 이용함

Lateal Movement (측면 이동)

• 공격자가 사용자 환경을 통해 이동함

네트워크의 원격 시스템에 진입하고 제어하는데 사용하는 기술

주요 목표 달성법: 네트워크 탐색 -> 표적 탐지 -> 표적에 대한 권한 확보
이 과정에서 여러 시스템과 계정 정볼르 활용함

자체 원격 관리 도구, 운영체제 시스템 도구들을 악용함

Collection (수집)

• 공격자가 목표에 관심있는 데이터 수집

공격자가 정보를 수집하는데 사용할 수 있는 기법
수집후 보통 데이터를 훔치거나 유출하는 경우가 많다.

• 드라이브 ,브라우저,오디오,비디오,이메일 포함..

스크린샷 캡처와 키보드 입력을 포함함

Command and Control (명령 및 제어)

• 공격자가 손상된 시스템과 통신하여 제어

표적 네트워크 내에서 자신이 제어하는 시스템과 통신 기술로 구성
일반적으로 탐지를 피하기 위해 정상적이고 예상되는 트래픽을 모방함

Exfiltration (유출)

• 공격자가 데이터를 훔친다

네트워크에서 데이터를 훔치는데 사용할수 있는 기술

데이터를 수집 > 탐지를 피하기 위해서 데이터를 패키징하여 제거해버림 (압축및 암호화 포함)

일반적으로 명령 및 제어 채널, 대체 채널을 통해 데이터를 전송하는 기술을 포함

Impact (영향)

• 공격자가 사용자의 시스템과 데이터를 조작, 방해, 파괴함

• 비즈니스 및 운영 프로세스를 조작하여 가용성을 방해하고, 무결성을 손상시킨다.

데이터 파괴, 변조 포함

• 공격자가 최종 목표를 달성하거나 기밀 유출을 은폐하기 위해 사용함