Mitre Tactic

TTPs 기반 공격 시뮬레이션 및 탐지

---

Resource Development(자원 개발)

• 리소스 개발은 공격자가 타겟팅을 지원하는 데 사용할 수 있는 리소스를 생성, 구매 또는 손상/도용하는 기술로 구성

Initial Access(초기 침투)

• 초기 액세스는 네트워크 내에서 초기 기반을 확보하기 위해 다양한 진입 벡터를 사용하는 기술로 구성
• Email, Exploit, USB, Web Browser...

Web Browser

초기침투에서 가장 위험성이 높음(고위험 취약점). chrome, edge, whale 등
인터넷을 쓰려면 반드시 브라우저가 있어야 하는데 최초침투 단계에서 브라우저 자체에 취약점이 발생하게 되면 정상 사이트가 해킹이 당하면 접속만으로도 악성코드가 다운로드 된다.

Execution(실행)

• 실행은 로컬 또는 원격 시스템에서 공격자가 제어하는 코드를 실행하는 기술로 구성된다.
• cmd, pwsh, bash, Msi...Malware
• 악성코드 실행도 이 택틱에 해당되게 된다.

Persistence(지속성 유지)

• 지속성은 공격자가 재시작, 자격 증명 변경, 액세스를 차단할 수 있는 기타 중단 시에도 시스템에 대한 액세스를 유지하기 위해 사용하는 기술로 구성됨
• Registry, WMI, Startup Path, taskschd.msc
• 초기침투부터 다시 진행하게되면 해커 입장에서는 리소스 낭비이기 때문에 자동으로 실행되게끔 하는 테크닉이다. like 컴퓨터 켜면 카카오톡 프로그램이 자동으로 실행되는...

Privilege Escalation(권한 상승)

• 권한 상승은 공격자가 시스템이나 네트워크에서 더 높은 수준의 권한을 얻기 위해 사용하는 기술로 구성된다.
• System(High)/Administrators(Medium)/User(Low) -> 윈도우의 경우
• Administrators 권한만 있어도 웬만한 악성코드 공격은 다 가능하다.
• Windows 커널 드라이브를 이용해서 권한 상승을 시도한 이력이 있다.

Defense Evasion(방어 회피)

• 방어 회피는 공격자가 침해 전반에 걸쳐 탐지를 피하기 위해 사용하는 기술로 구성된다. 방어 회피에 사용되는 기술에는 보안 소프트웨어 제거/비활성화, 데이터 및 스크립트 난독화/암호화 등이 포함된다.
• UAC, Access Token, Group Policy
• 백신 프로그램 끄기 등
• 권한 상승이 안먹힐때 먼저 시도하는 경우도 있다.

Credential Access(자격 증명 엑세스)

• 자격 증명 액세스는 계정 이름 및 비밀번호와 같은 자격 증명을 도용하는 기술로 구성된다. 자격 증명을 얻는 데 사용되는 기술에는 키 로깅 또는 자격 증명 덤핑이 포함된다.
• SSH Key, Chrome password, Windows Credential...

Discovery(발견, 검색)

• 검색은 공격자가 시스템과 내부 네트워크에 대한 지식을 얻기 위해 사용할 수 있는 기술로 구성된다.
• Local System account, Network domain, File and Directory
• 공격자가 원하는 정보가 어디있는지 탐색하는 택틱
• 사용자의 계정 정보, 추상적인 개념들에 대해서 데이터를 조회하려면 시스템에서 지원하는 커맨드들을 사용하게된다.
• 공격 단계 중간 중간에 위치하기도 하는 택틱이다.

Lateral Movement(측면 이동)

• 측면 이동은 공격자가 네트워크의 원격 시스템에 진입하고 제어하는데 사용하는 기술로 구성된다.
• RDP(Remote Desktop Protocol), SSH, WinRM...
• 쉽게 말해 권한이 없는 깡통 PC에서 목표물이 있는 PC까지 가는 것을 의미함.
• WinRM은 Windows 환경에만 존재하는 프로토콜로써 Active Directory 환경이 구성된 곳에서 사용한다. 이 기능은 내 PC에 다른 PC들이 그룹으로 묶여있을 때 전송하고자 하는 것을 쉽게 그룹원들에게 뿌리는 것이 가능해진다.

Collection(수집)

• 수집은 공격자가 정보를 수집하기 위해 사용할 수 있는 기술과 공격자의 목표를 달성하는 데 관련된 정보가 수집되는 소스로 구성된다.
• User data, Cloud storage, Keylogging, File dumping...

Command & Control(명령 및 제어)

• 명령 및 제어는 공격자가 피해자 네트워크 내에서 자신의 통제하에 있는 시스템과 통신하는 데 사용할 수 있는 기술로 구성된다.
• HTTP/S, DNS, Mail, TCP, Proxy
• C&C or C2 라고 불리기도 한다.

Exfiltration(유출)

• 유출은 공격자가 네트워크에서 데이터를 훔치는 데 사용할 수 있는 기술로 구성된다.
• User data, Cloud storage, Keylog...

Impact(영향)

• 영향은 공격자가 비즈니스 및 운영 프로세스를 조작하여 가용성을 방해하거나 무결성을 손상시키는 데 사용하는 기술로 구성된다.
• Account Removal, Data Destruction, Data Encrypted, Disk Wipe...
• 대부분 Impact 택틱에서는 Ransomware가 많이 쓰인다.

Threat Hunting

• 피해가 발생하기전에 공격자를 먼저 탐지하겠다 뭐 그런 뜻 ex) 모의해킹

선제적인 사이버 방어 활동

• 현재의 보안솔루션을 피해가는 비 전통적인 위협 탐지 분석

1. 분석
2. 가설
3. 조사
4. 발견

APT Group

Advanced persistent Threats

• 지능형 지속 위협 공격

FIN이 붙은 접두사는 Fin Tech를 의미한다.

Wizard Spider

원래 Trickbot 뱅킹 멀웨어로 알려진 러시아 기반 전자 범죄 그룹이다.
Trickbot 소프트웨어에 Ryuk 랜섬웨어 배포를 가능하게 하는 기능을 추가했다.

주목할만한 Ryuk 공격에는 Universal Healthcare System 병원, 미국 조지아 및 플로리다 주 정부 행정 사무소, 중국 기업이 포함된다.

운영 전반에 걸쳐 이 그룹은 다단계 접근 방식을 사용하여 랜섬웨어 캠페인을 관리했다.
피해자의 네트워크를 암호화하기 전에 이 그룹은 민감한 데이터를 유출하고 피해자가 랜섬웨어 복호화 비용 지불을 거부하면 이를 공개하겠다고 위협한다.

Turla

러시아에 기반을 둔 정교한 위협 그룹으로 50개 이상의 국가에서 피해자를 감염시킴.
이 그룹은 정부기관, 외교 공관, 군사 단체, 연구 및 교육 시설, 주요 인프라 부문, 미디어 조직을 표적으로 삼았다.

새로운 기술과 맞춤형 툴링 및 오픈 소스 도구를 활용하여 방어 체계를 회피하고 표적 네트워크에서 지속해서 활동한다.

이 그룹은 또한 캠페인 목표를 달성하기 위해 행동과 툴을 진화시키려는 적응력과 의지로도 유명하다. 표적 침입, 혁신적인 스텔스 기법으로 유명하다.

거점을 확보하고 피해자 열거를 수행한 후 Turla는 인메모리 또는 커널 임플란트를 통해 최소한의 설치 공간으로 지속한다.

Turla는 Linux 및 Windows 인프라에서 민감한 정보를 유출하는 것을 목표로 고도로 표적화된 캠페인을 실행한다.

OilRig

이란 정부의 전략적 목표에 맞춰 작전을 수행하는 공격 그룹.
전 세계 금융, 정부, 에너지, 화학, 통신 및 기타 부문을 대상으로 운영하면서 광범위한 영향을 미친 역사를 가지고 있다.

일반적으로 스피어피싱 및 사회 공학적 공격 전술과 PowerShell 백도어를 활용한다.

탐지를 회피하기 위해 지속적으로 기술을 발전시키고 있으며, 독점 악성 코드, 공개적으로 사용 가능한 맞춤형 버전의 도구, 다목적 소프트웨어를 조합하여 활용하고 있다.

Blind Eagle

최소 2018년부터 활동해 온 남미 스파이 활동 의심 그룹.

주로 콜롬비아 정부 기관은 물론 금융 부문, 석유 산업, 전문 제조업 분야의 주요 기업을 표적으로 삼고 있다.

23년도 2월 콜롬비아 정부 세무 기관을 사칭하여 보건, 금융, 법 집행, 이민, 평화 협상 담당 기관 등 콜롬비아의 주요 산업을 표적으로 삼는 새로운 캠페인을 목격했다.

초기 감염 벡터는 일반적으로 이메일로 전송된 PDF 파일이다.