[Incident Response] ATT&CK Attack Framework

[Incident Response]  ATT&CK Attack Framework

 

MITRE ATT&CK

---

(1) ATT&CK Attack Framework 개념, 용어, 활용 방안

 

[그림 1] ATT&CK Framework

 

1-1. 개념

• ATT&CK IQ 플랫폼은 전 세계에서 가장 권위 있고 포괄적이며, 최신 공격 기술과 지원 전술의 집합인 MITRE ATT&CK 프레임워크를 자동으로 사용

• ATT&CK 지식 기반은 기업, 정부 등 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법 개발을 위한 기반으로 사용

• 사이버 공동체에서의 MITRE 위상과 ATT&CK 매트릭스에서의 지적 재산권의 독립성은 보안 운영 관리, 임원진 및 이사회가 사이버 보안 통제 성과, 위험 및 능력을 객관적으로 평가하고 측정할 수 있는 이상적인 플랫폼

• ATT&CK 기술 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기반으로 사용

• ATT&CK의 설립으로 MITRE는 보다 효과적인 사이버 보안 개발을 위한 커뮤니티를 모아 안전한 세상을 위한 문제를 해결하는 사명을 완수

 

 

1-2. 용어

• MITRE ATT&CK는 실제 관찰에 기반한 적의 전술과 기술에 대한 전 세계적으로 액세스 가능한 지식 기반

• MITRE는 킬 체인(Kill Chain)을 확장하여 다양한 전술을 포함시켰으며, 상세한 기술에 의해 뒷받침됨

• MITRE ATT&CK는 적대적 행동의 가장 크고 심도 있고 조직적이고 강력하게 뒷받침되는 지식 기반

 

 

1-3. 활용 방안

• 조직화된 접근 방식으로 보안 컨트롤을 검증하는데 필요한 공격을 체계적으로 선택하고, 보안 컨트롤 세트를 합리적으로 확장하기 위해 격차를 파악하는 데 도움이 됨

• 보안 컨트롤을 정밀하게 검증하고 보안 틈새에 대한 가시성 확보

• 잠재적인 공격자가 활용할 수 있는 전술과 기법에 대한 잘 알려진 분류법을 가지고 있으므로, 이해 관계자나 사이버 수비수 및 공급 업체가 위협의 정확한 특성과 이를 무력화시킬 수 있는 사이버 방어 계획의 객관적인 평가에 대해 명확하게 의사소통할 수 있도록 하는 공통 어휘집 제공

• 보안 컨트롤이 올바르게 구성되었는지, 예상대로 수행되었는지, 예상 투자 수익을 제공하는지 등을 즉시 확인할 수 있으므로 매우 유용

• MITRE ATT&CK 지식 기반을 통해 전술적 경험을 전략적 위협 인텔리전스 기능으로 전환 가능

• 보안 프로그램의 개별 자산이 특정 공격에 어떻게 대응하는지 식별 가능

• 최소한의 Onboarding만으로 사용하기 쉽고, 현재 보유하고 있는 보안 기술과 통합    

---

(2) ATT&CK Attack Framework 활용 Life Cycle, Cyber Kill-Chain 설명

 

[그림 2] 라이프 사이클 & 사이버 킬 체인 

 

2-1. 사이버 공격 라이프 사이클 (Life Cycle)

• 사이버 공격 라이프 사이클은 록히드 마틴의 사이버 킬 체인, 통합 CKC, MITRE 등과 같이 다르게 개발된 킬 체인의 기본

• 기본 단계나 단계는 동일하며, 사용과 개발은 그들이 본 것과 원하는 방법에 따라 다름

• MITRE는 직접 경험을 바탕으로 사이버 공격 라이프 사이클을 이용한 킬 체인 단계를 자체적으로 개발하였으며, 이를 ATT&CK라고 부름

• 어떤 조직이 사이버 공격 라이프 사이클을 채택할 때, 그들은 탐지하는 것에 집중하기 위해 방어하려고 함

• 사이버 공격 라이프 사이클은 공격 방법에 대해 패턴화 시킨 것을 뜻함

 

1. Initial Compromise : 공격자가 대상에 악성코드나 백도어를 설치하는 단계

2. Establish Foothold : 공격자가 실행하는 단계

3. Escalate Privilege : 공격자가 서버에서의 권한을 높이는 단계

4. Internal Reconnaissance : 내부 정찰 단계이며, 다른 시스템으로 이동하기 위해 탐구하는 단계

5. Move Laterally : 공격자가 목표로 하는 시스템으로 이동하는 단계

6. Maintain Presence : 지금은 필요한 정보나 데이터가 없을 수도 있지만, 목표를 위해 유지하는 단계

 

 

2-2. 사이버 킬 체인 (Cyber Kill-Chain)

• 공격 라이프 사이클에 대한 방법으로 공격자가 공격을 진행할 때, 이 부분을 집중적으로 모니터링하여 공격자가 다음 공격을 진행하기 전에 끊어버리자는 방어 전술을 의미

• 다음 단계로 진행을 하지 못하게 하면 공격자는 최종 목표를 달성하기 어려움

• 즉, 공격자가 이미 우리 내부 네트워크에 침입해있다는 것을 가정하고, 방어하는 전략

• 원래는 실제 세상의 군사 용어에서 나온 전략

• 사이버 공격을 각 단계별로 분석하여, 각 단계에서 발생하는 위협 요소 파악 및 대응을 통해 모든 공격을 막을 수는 없지만 피해 최소화는 가능

• 크게 정찰(Reconnaissance), 무기화 전달(Weaponization and Delivery), 익스플로잇 / 설치(Exploit and Installation), 명령 및 제어(Command and Control), 행동 및 탈출(Action and Exfiltration) 단계로 구성될 때, 각각의 단계는 방어자 입장에서 공격 전과 공격 후로 나눌 수 있음

• 공격 전 단계에서 체인을 끊어내는 게 이 전략의 목표

• 프로세스상에 따른 대응이므로, 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명할 때, 자주 언급되는 전략 중 하나

 

2-2-1. 단계별 사이버 킬 체인(Cyber Kill-Chain)

 

[그림 3] 단계별 사이버 킬 체인

 

2-2-2. 록히드 마틴 사이버 킬 체인(Cyber Kill-Chain)

 

[그림 4] 록히드 마틴 사이버 킬 체인

 

• 록히드 마틴은 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 인지하고, 공격 시작부터 종단까지 통합된 프로세스를 보여주는 사이버 킬 체인 모델을 제시

• 이 모델에 따라 공격 단계가 심화되기 전, 다음 단계의 대응 조치나 여러 단계들 중 한 단계의 시행을 사전에 막는 등 방어를 통해 공격자의 반복적이고 변칙적인 시도도 미리 대비할 수 있을 것

---

(3) ATT&CK Attack Framework TTP 12개 전술 설명

 

 

[그림 5] ATT&CK TTP

 

3-1. TTP(Tactis(전술) / Techniques(기법) / Procedure(절차))

• Tactis(전술) : 특정 위협 주체가 공격 기간 동안 단계적으로 수행한 위협 및 공격 방법을 의미 (사례화)

• Techniques(기법) : 특정 위협 주체가 공격 기간동안 중간에 결과를 얻기 위해 사용하는 해킹 및 기술

• Procedure(절차) : 특정 위협 주체가 공격 기간 동안, 각 단계에서 사용한 실제 공격 접근 방법 및 실제적 움직임

 

3-2. Tactis(전술) 12개 설명

1. 초기 접속(Initial Access) : 악성코드 유포 및 첨부 파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성 행위를 위한 초기 진입 방식

2. 실행(Execution) : 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술

3. 지속(Persistense) : 공격 기반을 유지하기 위한 전술이며, 운영체제에서 사용하는 파일을 공격자가 만든 악의적 파일로 대체하여 지속적인 악성 행위를 수행하거나, 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당

4. 권한 상승(Privilege Escalation) : 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술이며, 시스템의 취약점이나 구성 오류 등을 활용하고, 높은 권한을 가진 운영체제로 악의적 파일을 삽입하는 기법 또는 시스템 등록 기법 등으로 권한 상승

5. 방어 회피(Defense Evasion) : 공격자가 침입한 시간 동안 탐지당하는 것을 피하기 위해 사용하는 전술이며, 보안 소프트웨어 제거 및 비활성화, 악성코드 난독화 및 암호화가 포함되며 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지

6. 접속 자격 증명(Credential Access) : 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술로, 정상적 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적 달성을 위해 더 많은 계정 생성 가능

7. 탐색(Discovery) : 공격자가 시스템 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술이며, 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향 정하기 가능

8. 내부 확산(Lateral Movement) : 공격자가 네트워크에서 원격 시스템에 접근한 후에 이를 제어하기 위해 사용하는 전술이며, 공격자는 자신의 원격 접속 도구를 설치해 내부 확산 수행이나 운영체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근

9. 수집(Collection) : 공격자가 목적과 관련된 정보 또는 정보 출처가 포함된 데이터 수집을 위해 사용하는 전술이며, 데이터를 훔치고 유출하는 것이 목적

10. 명령 및 제어(Command and Control) : 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술

11. 유출(Exfiltration) : 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술이며, 공격자는 데이터 탐지 회피를 위해 데이터 압축이나 암호화 후에 전송이나 데이터 크기 제한을 설정하여 여러 번 나누어 전송하는 방식 사용

12. 임팩트(Impact) : 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작 및 중단시키고 나아가 파괴하는 데 사용하는 전술

---

# Reference

 

https://attack.mitre.org/

 

http://www.igloosec.co.kr/BLOG_%EC%82%AC%EC%9D%B4%EB%B2%84%ED%82%AC%EC%B2%B4%EC%9D%B8(Cyber%20Kill%20Chain)%EB%AA%A8%EB%8D%B8%EC%9D%84%20%ED%86%B5%ED%95%9C%20SIEM%EC%9D%98%20%ED%99%9C%EC%9A%A9?searchItem=&searchWord=&bbsCateId=1&gotoPage=1