Yum_Yum

[Incident Response] 초기 침투(Initial Access)

(1) Initial Access : Overview

• 조직 네트워크 내에서 초기 발판(foothold)을 확보하기 위한 기술

예시)

• 스피어피싱 메일 발송

• 워터링 홀 + DBD(Drived-by Download) 취약점에 의한 악성코드 감염

• 인터넷에 공개된 사내 웹 서버 취약점 악용 (SQL Injection, File Upload)

• 기타 등등 

(2) Drive by Compromise

• 일반적인 웹서핑 과정에서 악성 웹 사이트를 방문했을 때, 사용자의 웹 브라우저 내에 취약점 존재 시 악용 가능 (난이도 높음)

• 종종 워터링 홀 공격과 같이 엮어서 표적 공격으로도 활용 가능 

• Oauth 토큰 탈취나, 피싱 페이지를 이용한 정보 탈취로도 사용 가능 (난이도 낮음)

2-1. 일반적인 유포 기법

• 이미 침해에 성공한 일반적인 웹 서버에 Javascript 나 HTML 객체 삽입

• 합법적인 광고 제공 업체를 통해 광고 내에 삽입 (멀버타이징, Malvertising)

• 포럼 게시글, 댓글 등에 XSS 취약점을 이용한 Javascript 나 HTML 객체 삽입

• 워터링 홀 기법과 결합하여 유포

2-2. 일반적인 분석 방법

• 악성 파일 / 프로세스 생성 일자 확인

• 웹 브라우저 로그 수집 및 분석

• 악성 파일 / 프로세스 생성 시점 근처에 접속했던 사이트 리스팅

• 인텔리전스 평판 조회

• 분석 환경에서 접속하여 Javascript 혹은 HTML 코드 인수

• 입수한 코드를 분석하여 추가 행위 분석

• 악성 파일 / 프로세스 생성 시점 근처와 이후에 생성된 파일 리스팅

• 생성된 악성 파일 존재 시 분석 필요

2-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

2-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• F/W 로그

• E-MAIL 필터링 로그

• Vaccine 로그

• ETC

(3) Exploit Public-Facing Application

• 조직 내 인터넷에 공개된 서비스에 취약점 존재 시 악용 가능

• 주로 웹, 데이터베이스 서버에 대한 공격 대다수

예시)

• 웹 서버

• 데이터베이스 서버

• SMB 서버

• SSH 서버

• 기타 공개형 서비스

3-1. 일반적인 공격 기법

• 일반적으로는 인터넷에 공개된 서비스에 대해서 무차별 취약점 스캐닝 수행

• 가장 많이 노출된 웹 서버에 대한 공격 대다수

• OWASP TOP 10 / CWE TOP 25 : ATT&CK 매트릭스와 비슷한 컨셉의 공개 가이드라인

3-2. 일반적인 분석 방법

• 웹 쉘 존재 시 생성 일시 확인

• 침해 증상 존재 시 발생 일시 확인

• 일시 확인 후 웹 로그 조사

• 웹 로그 조사 후 최초 공격 성공 일시 확인

• 웹 서비스 취약점 확인

• 최초 공격 성공 일시 시점부터 이후에 수행된 악성 행위 확인

• 생성된 악성 파일 존재 시 분석 필요

3-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

3-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• WAF 로그

• F/W 로그

• Vaccine 로그

• ETC

(4) External Remote Services

• VPN, Windows RDP 등 외부에 오픈 된 서비스에 불법적으로 접근하는 기법
• 이러한 외부 원격 접근 메커니즘에 의해 사용자는 기업 내부 리소스에 접근 가능

4-1. 일반적인 공격 기법

• 사전에 유출 된 / 수집한 자격 증명(Credential) 사용

• VPN에 연결 된 사용자 PC 악성코드 감염

• 패스워드 브루트포스(Bruteforce)

• VPN, RDP 등 신규 취약점 악용

4-2. 일반적인 분석 방법

• 이벤트 로그 내의 불법적인 접근 기록 확인 필요

• 원격 서비스 인증을 위한 유효한 정상 계정의 악의적 사용 탐지 필요

예시)

• 인증 로그 수집

• 비정상적인 접근 패턴

  • 비정상적인 활동 시간 (정상 업무 시간 이외의 시간에 접속)

  • 비정상적인 지점 (한국이 아닌 중국, 러시아 등)

  • 비정상적으로 많은 접근 실패

  • 기타

4-3-1. 일반적인 아티팩트 (호스트 환경)

• 이벤트 로그

• ETC

4-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• VPN 로그

• F/W 로그

• ETC

(5) Hardware Additions

• 공격자는 컴퓨터 액세서리 또는 네트워킹 하드웨어를 시스템 또는 네트워크에 도입하여 조직 내부에 접근하는 발판(foothold)으로 사용 가능

• APT 그룹이 실제 사용했다는 공개된 레퍼런스는 드문 기법

예시)

• 수동 네트워크 태핑

• MITM 암호화 브레이킹

• DMA 이용한 커널 메모리 읽기

• 기존 네트워크에 대한 새로운 무선 액세스 추가

• 기타 등등

• 즉, 악의적인 용도의 하드웨어 사용

(6) Replication Through Removable Media

• 악의적인 사용자는 이동식 매체에 악성코드를 복사하고, 직/간접적으로 목표 시스템에 매체가 삽입되어 실행될 때 자동 실행 기능을 활용하여 연결이 끊어지거나 망분리 된 네트워크에 발판(foothold) 설치 가능

• 내부 전파의 경우, 확보한 발판(foothold) 시스템에 이동식 매체가 삽입 시 매체에 저장된 실행 파일을 수정하거나 악성코드를 복사하고 합법적인 파일처럼 보이도록 파일 명을 변경하여 정상 사용자가 다른 시스템에서 실행하도록 기만

예시)

• SCADA(산업제어시스템) 해킹

• 스턱스넷

• 기타 다수의 USB용 악성코드 및 활용 사례 존재

(7) Spearphishing Attachment / Link / via Service

7-1. Spearphishing

• 특정 개인, 조직 또는 비즈니스를 대상으로 하는 전자 메일 또는 전자 통신 기기

• 악성 객체를 열어보게 끔 그럴듯한 유혹으로 기만

• 난이도가 낮지만 가장 많이 성공하는 공격으로, 공격자가 애용

7-2-1. Spearphishing Attachment

• Spearphishing 메일에 악성 파일 첨부하는 방식

• MS Office, PDF, ZIP, HWP 등 많은 옵션 존재

7-2-2. Spearphishing Link

• Spearphishing 메일에 악성 링크 첨부하는 방식

• 악성 링크에는 다운로드 링크 혹은 익스플로잇 코드 링크 포함

7-2-3. Spearphishing via Service

• 조직 내부 메일 주소가 아닌 타사 서비스로 Spearphishing 

• 일반적으로 SNS 등을 통해 친분 관계 형성 후 악성 객체 전달 

예시)

• 몸캠

• 매력적인 사진으로 프로필 사진 등록 후 SNS 메시지 등으로 접근

7-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 이메일 로그 (Outlook, MS Mail, Web-browser-log, etc)

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsrJrnl:$J, $LogFile

• ETC

7-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• E-MAIL 필터링 로그

• F/W 로그

• Vaccine 로그

• ETC

(8) Supply Chain Compromise

• 최종 소비자가 제품을 제공받기 전에 제품 또는 제품 제공 메커니즘을 조작하여 데이터 또는 시스템 침해

8-1. 일반적인 유포 기법

• 개발 도구 변조

• 개발 환경 변조

• 소스 코드 리포지토리 변조 (공개 또는 개인)

• 인기 있는 오픈 소스 변조하여 종속성  존재하는 소스 코드까지 감염

• 소프트웨어 업데이트 / 배포 매커니즘 조작

• 감염된 시스템 이미지 (감염된 채로 출시되는 이동식 매체)

• 합법적인 소프트웨어를 수정된 버전으로 교체

• 합법적 유통 업체에 변형 / 위조된 제품 판매

• 배포 혹은 공급망 강제 차단 

분석 방법 및 아티팩트는 매우 광범위하고 다양하다.

(9) Trusted Relationship

• 공격자는 의도한 피해자에게 접근할 수 있는 조직을 침해한 후 이용 가능

• 조직은 종종 클라우드 기반 환경 뿐만 아니라, 내부 시스템을 관리 / 접근할 수 있도록 타사 협력 업체에게 높은 권한 부여

• 타사 협력 업체가 내부 네트워크 / 시스템에 접근하기 위해 사용하는 유효 계정이 손상되어 악용 가능

예시)

• IT 서비스 계약자 - 백신 공급업체 엔지니어, ...

• 관리 보안 공급자 - 헬프데스크 직원, 관리 업체 직원, ...

• 인프라 계약자 - 엘리베이터 관리 직원, ...

(10) Valid Accounts

• 조직 내부망 침투를 위해 공격자는 유효한 자격증명(Credential)을 얻으려고 노력하며, 그러한 다양한 방법들은 위에서 소개

• 이러한 유효한 자격증명(Credential)을 이용하면 공격자는 합법적인 사용자처럼 네트워크를 이동 가능

• 이러한 유효한 자격증명(Credential)을 이용하면 정상과 식별 / 분리하기 어려우므로 방어자는 탐지하기 난해

• 유효한 자격증명(Credential)의 종류에는 여러가지 존재

예시)

• 기본 계정(Built-in)

  • Windows 시스템 상에서는 게스트, 관리자 등 계정

  • 기타 OS, S/W 장비에서는 기본 공장용(factory) 계정, 공급자 설정 계정 등 장치 상에 내장된 계정

  • 오픈 소스 등에 초기 설정되어 있는 계정도 포함

  • 반드시 초기 설정되어 있는 계정을 변경하여 사용 필요

• 로컬 계정(Local)

  • 일반 사용자, 원격 지원, 서비스 또는 단일 시스템 또는 서비스 관리를 위해 필요에 의해 조직에서 구성한 계정

• 도메인 계정(Domain)

  • AD(Active Directory) 도메인 서비스가 관리하는 계정

  • 해당 도메인의 일부인 시스템 및 서비스에서 접근 / 권한 구성 가능

  • 도메인 관리자(Domain Admin) 계정은 사용자, 관리자 및 서비스 등 모든 AD 내의 계정들을 다루는 것이 가능하므로 공격자의 최종 목표

# Reference

https://attack.mitre.org/

[Incident Response]  ATT&CK Attack Framework

(1) ATT&CK Attack Framework 개념, 용어, 활용 방안

1-1. 개념

• ATT&CK IQ 플랫폼은 전 세계에서 가장 권위 있고 포괄적이며, 최신 공격 기술과 지원 전술의 집합인 MITRE ATT&CK 프레임워크를 자동으로 사용

• ATT&CK 지식 기반은 기업, 정부 등 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법 개발을 위한 기반으로 사용

• 사이버 공동체에서의 MITRE 위상과 ATT&CK 매트릭스에서의 지적 재산권의 독립성은 보안 운영 관리, 임원진 및 이사회가 사이버 보안 통제 성과, 위험 및 능력을 객관적으로 평가하고 측정할 수 있는 이상적인 플랫폼

• ATT&CK 기술 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기반으로 사용

• ATT&CK의 설립으로 MITRE는 보다 효과적인 사이버 보안 개발을 위한 커뮤니티를 모아 안전한 세상을 위한 문제를 해결하는 사명을 완수

1-2. 용어

• MITRE ATT&CK는 실제 관찰에 기반한 적의 전술과 기술에 대한 전 세계적으로 액세스 가능한 지식 기반

• MITRE는 킬 체인(Kill Chain)을 확장하여 다양한 전술을 포함시켰으며, 상세한 기술에 의해 뒷받침됨

• MITRE ATT&CK는 적대적 행동의 가장 크고 심도 있고 조직적이고 강력하게 뒷받침되는 지식 기반

1-3. 활용 방안

• 조직화된 접근 방식으로 보안 컨트롤을 검증하는데 필요한 공격을 체계적으로 선택하고, 보안 컨트롤 세트를 합리적으로 확장하기 위해 격차를 파악하는 데 도움이 됨

• 보안 컨트롤을 정밀하게 검증하고 보안 틈새에 대한 가시성 확보

• 잠재적인 공격자가 활용할 수 있는 전술과 기법에 대한 잘 알려진 분류법을 가지고 있으므로, 이해 관계자나 사이버 수비수 및 공급 업체가 위협의 정확한 특성과 이를 무력화시킬 수 있는 사이버 방어 계획의 객관적인 평가에 대해 명확하게 의사소통할 수 있도록 하는 공통 어휘집 제공

• 보안 컨트롤이 올바르게 구성되었는지, 예상대로 수행되었는지, 예상 투자 수익을 제공하는지 등을 즉시 확인할 수 있으므로 매우 유용

• MITRE ATT&CK 지식 기반을 통해 전술적 경험을 전략적 위협 인텔리전스 기능으로 전환 가능

• 보안 프로그램의 개별 자산이 특정 공격에 어떻게 대응하는지 식별 가능

• 최소한의 Onboarding만으로 사용하기 쉽고, 현재 보유하고 있는 보안 기술과 통합    

(2) ATT&CK Attack Framework 활용 Life Cycle, Cyber Kill-Chain 설명

2-1. 사이버 공격 라이프 사이클 (Life Cycle)

• 사이버 공격 라이프 사이클은 록히드 마틴의 사이버 킬 체인, 통합 CKC, MITRE 등과 같이 다르게 개발된 킬 체인의 기본

• 기본 단계나 단계는 동일하며, 사용과 개발은 그들이 본 것과 원하는 방법에 따라 다름

• MITRE는 직접 경험을 바탕으로 사이버 공격 라이프 사이클을 이용한 킬 체인 단계를 자체적으로 개발하였으며, 이를 ATT&CK라고 부름

• 어떤 조직이 사이버 공격 라이프 사이클을 채택할 때, 그들은 탐지하는 것에 집중하기 위해 방어하려고 함

• 사이버 공격 라이프 사이클은 공격 방법에 대해 패턴화 시킨 것을 뜻함

1. Initial Compromise : 공격자가 대상에 악성코드나 백도어를 설치하는 단계

2. Establish Foothold : 공격자가 실행하는 단계

3. Escalate Privilege : 공격자가 서버에서의 권한을 높이는 단계

4. Internal Reconnaissance : 내부 정찰 단계이며, 다른 시스템으로 이동하기 위해 탐구하는 단계

5. Move Laterally : 공격자가 목표로 하는 시스템으로 이동하는 단계

6. Maintain Presence : 지금은 필요한 정보나 데이터가 없을 수도 있지만, 목표를 위해 유지하는 단계

2-2. 사이버 킬 체인 (Cyber Kill-Chain)

• 공격 라이프 사이클에 대한 방법으로 공격자가 공격을 진행할 때, 이 부분을 집중적으로 모니터링하여 공격자가 다음 공격을 진행하기 전에 끊어버리자는 방어 전술을 의미

• 다음 단계로 진행을 하지 못하게 하면 공격자는 최종 목표를 달성하기 어려움

• 즉, 공격자가 이미 우리 내부 네트워크에 침입해있다는 것을 가정하고, 방어하는 전략

• 원래는 실제 세상의 군사 용어에서 나온 전략

• 사이버 공격을 각 단계별로 분석하여, 각 단계에서 발생하는 위협 요소 파악 및 대응을 통해 모든 공격을 막을 수는 없지만 피해 최소화는 가능

• 크게 정찰(Reconnaissance), 무기화 전달(Weaponization and Delivery), 익스플로잇 / 설치(Exploit and Installation), 명령 및 제어(Command and Control), 행동 및 탈출(Action and Exfiltration) 단계로 구성될 때, 각각의 단계는 방어자 입장에서 공격 전과 공격 후로 나눌 수 있음

• 공격 전 단계에서 체인을 끊어내는 게 이 전략의 목표

• 프로세스상에 따른 대응이므로, 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명할 때, 자주 언급되는 전략 중 하나

2-2-1. 단계별 사이버 킬 체인(Cyber Kill-Chain)

2-2-2. 록히드 마틴 사이버 킬 체인(Cyber Kill-Chain)

• 록히드 마틴은 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 인지하고, 공격 시작부터 종단까지 통합된 프로세스를 보여주는 사이버 킬 체인 모델을 제시

• 이 모델에 따라 공격 단계가 심화되기 전, 다음 단계의 대응 조치나 여러 단계들 중 한 단계의 시행을 사전에 막는 등 방어를 통해 공격자의 반복적이고 변칙적인 시도도 미리 대비할 수 있을 것

(3) ATT&CK Attack Framework TTP 12개 전술 설명

3-1. TTP(Tactis(전술) / Techniques(기법) / Procedure(절차))

• Tactis(전술) : 특정 위협 주체가 공격 기간 동안 단계적으로 수행한 위협 및 공격 방법을 의미 (사례화)

• Techniques(기법) : 특정 위협 주체가 공격 기간동안 중간에 결과를 얻기 위해 사용하는 해킹 및 기술

• Procedure(절차) : 특정 위협 주체가 공격 기간 동안, 각 단계에서 사용한 실제 공격 접근 방법 및 실제적 움직임

3-2. Tactis(전술) 12개 설명

1. 초기 접속(Initial Access) : 악성코드 유포 및 첨부 파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성 행위를 위한 초기 진입 방식

2. 실행(Execution) : 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술

3. 지속(Persistense) : 공격 기반을 유지하기 위한 전술이며, 운영체제에서 사용하는 파일을 공격자가 만든 악의적 파일로 대체하여 지속적인 악성 행위를 수행하거나, 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당

4. 권한 상승(Privilege Escalation) : 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술이며, 시스템의 취약점이나 구성 오류 등을 활용하고, 높은 권한을 가진 운영체제로 악의적 파일을 삽입하는 기법 또는 시스템 등록 기법 등으로 권한 상승

5. 방어 회피(Defense Evasion) : 공격자가 침입한 시간 동안 탐지당하는 것을 피하기 위해 사용하는 전술이며, 보안 소프트웨어 제거 및 비활성화, 악성코드 난독화 및 암호화가 포함되며 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지

6. 접속 자격 증명(Credential Access) : 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술로, 정상적 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적 달성을 위해 더 많은 계정 생성 가능

7. 탐색(Discovery) : 공격자가 시스템 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술이며, 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향 정하기 가능

8. 내부 확산(Lateral Movement) : 공격자가 네트워크에서 원격 시스템에 접근한 후에 이를 제어하기 위해 사용하는 전술이며, 공격자는 자신의 원격 접속 도구를 설치해 내부 확산 수행이나 운영체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근

9. 수집(Collection) : 공격자가 목적과 관련된 정보 또는 정보 출처가 포함된 데이터 수집을 위해 사용하는 전술이며, 데이터를 훔치고 유출하는 것이 목적

10. 명령 및 제어(Command and Control) : 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술

11. 유출(Exfiltration) : 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술이며, 공격자는 데이터 탐지 회피를 위해 데이터 압축이나 암호화 후에 전송이나 데이터 크기 제한을 설정하여 여러 번 나누어 전송하는 방식 사용

12. 임팩트(Impact) : 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작 및 중단시키고 나아가 파괴하는 데 사용하는 전술

# Reference

https://attack.mitre.org/

http://www.igloosec.co.kr/BLOG_%EC%82%AC%EC%9D%B4%EB%B2%84%ED%82%AC%EC%B2%B4%EC%9D%B8(Cyber%20Kill%20Chain)%EB%AA%A8%EB%8D%B8%EC%9D%84%20%ED%86%B5%ED%95%9C%20SIEM%EC%9D%98%20%ED%99%9C%EC%9A%A9?searchItem=&searchWord=&bbsCateId=1&gotoPage=1