Yum_Yum

[Incident Response] T1196 Control Panel Items

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일  내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Control Panel Items란?

• Windows 제어판 항목은 사용자가 컴퓨터 설정을 보고 조정할 수 있는 유틸리티

• 제어판 항목은 등록된 실행 파일(.exe) 또는 제어판(.cpl)파일이며, 후자는 실제로 CPIApplet 함수를 내보내는 동적 링크 라이브러리(.dll)파일로 이름이 변경됨

• 제어판 항목은 명령 줄에서 직접 프로그래밍 방식으로 API(응용 프로그래밍 인터페이스) 호출 또는 파일을 두 번 클릭하여 실행 가능

• 사용하기 쉽도록 제어판 항목에는 일반적으로 제어판 등록 및 로드 된 후 사용자가 사용할 수 있는 그래픽 메뉴가 포함

• 공격자는 임의 명령을 실행하기 위해 제어판 항목을 실행 페이로드로 사용할 수 있음

• Spearphishing Attachment를 통해 악성 제어판 항목을 배달하거나 다단계 악성코드의 일부로 실행할 수 있음

• 제어판 항목, 특히 CPL 파일은 응용 프로그램 또는 파일 확장자 화이트리스트를 무시할 수 있음

• 완화 방법으로는 실행 방지와 파일 및 디렉토리 권한 제한이 있음

• 실행 방지는 적절한 경우 Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 악의적이거나 알려지지 않은 .cpl 파일을 식별하고 차단

• 파일 및 디렉토리 권한 제한은 제어판 항목의 저장 및 실행을 C:\Windows 사용자 디렉토리가 아닌 보호된 디렉토리로 제한됨  

(3) Control Panel Item 내용 정리

3-1. 정상 용도

• 제어판은 컴퓨터 설정을 확인하고 조정 가능한 유틸리티

• 등록된 실행 파일(.exe.) 혹은 제어판 파일(.cpl) > 제어판 항목

• 쉬운 사용을 위해 '제어판 항목'은 제어판 위에 그래픽으로 표시

3-2. 악의적 사용

• 악성 명령을 사용하기 위해 제어판 아이템을 실행 페이로드로 사용 가능

• Spearphishing 메일을 통해 악성 '제어판 항목'을 배달 > '사용자 실행'으로 실행

• .cpl 파일은 파일 확장자 화이트리스팅 무시 가능

3-3. 매개변수

• .cpl - Control Panel Items

(4) 기법 실습

4-1. Sublime Text3 > CPP 코드 작성

• CPP 파일을 위 [그림 5]와 같이 작성

• DLL로 동작

• 계산기를 실행시키기 위한 코드

4-2. 코드 컴파일 > 컴파일된 실행 파일 > cpl 파일

• CPP 파일을 컴파일

• 컴파일된 파일을 CPL 파일로 변경

4-3. CMD(명령 프롬프트) 실행 > CPL 파일 실행

• CMD (명령 프롬프트) 실행

• [그림 7]과 같이 명령어 입력

• CPL 파일을 실행할 수 있으며, 코드에 작성한 calc.exe 파일이 자동적으로 실행

(5) Control Panel Items 추가 내용

• ID : T1196

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User, Administrator, SYSTEM

• 데이터 소스

  • API 모니터링

  • 이진 파일 메타데이터

  • DLL 모니터링

  • Windows 레지스트리

  • Windows 이벤트 로그

  • 프로세스 명령 행 매개변수

  • 프로세스 모니터링

• 방어 우회

  • 응용 프로그램 허용 목록

  • 프로세스 허용 목록

# Reference

https://attack.mitre.org/techniques/T1196/

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1196/T1196.md

[Incident Response] T1223 Compiled HTML File

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing)메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Compiled HTML File이란?

• Compiled HTML File(chm)은 일반적으로 Microsoft HTML 도움말 시스템의 일부로 배포

• CHM 파일은 HTML 문서나 이미지, 자바스크립트와 같은 스크립팅 / 웹 관련 프로그래밍 언어와 같은 다양한 컨텐츠의 압축 편집 역할

• CHM 내용은 HTML 도움말 실행 프로그램(hh.exe)에 의해 로드 된 Internet Explorer 브라우저의 기본 구성 요소를 사용하여 표시됨

• 공격자는 이 기술을 악용하여 악성코드를 숨길 수 있고, 내장 된 페이로드가 포함된 사용자 정의 CHM 파일을 피해자에게 전달한 뒤, 악성 행위에 의해 트리거가 될 수 있음

• CHM 실행은 hh.exe를 통한 이진 실행을 설명하지 않는 이전 또는 패치되지 않은 시스템에서 응용 프로그램 허용 목록을 무시할 수 있음

• 완화 방법으로 실행 방지나 웹 기반 컨텐츠 제한이 있음

• 실행 방지는 특정 시스템이나 네트워크에 공격자가 악용될 가능성 방지를 위해 hh.exe가 필요하지 않은 경우 응용 프로그램 허용 목록을 사용하는 방법

• 웹 기반 컨텐츠 제한은 CHM 파일과 같은 적대적 캠페인에 사용되는 것으로 알려진 잠재적이지 않은 파일 형식 다운로드나 전송을 실행 차단하는 방법

(3) Compiled HTML File 내용 정리

3-1. 정상 용도

• '컴파일된 HTML 파일'은 보통 Microsoft HTML 도움말 시스템의 일부로 배포

• 다양한 컨텐츠의 압축본 : HTML, Image, Javascript, Hypertext/link

3-2. 악의적 사용

• 악의적으로 컴파일한 .chm 파일 제작

• 정상적인 파일처럼 위장하여 '사용자 실행'에 의해 실행

• 실행 시 내장된 악성 페이로드가 실행되어 감염

3-3. 매개변수

• .chm - Compiled HTML File (CHM)

3-4. 예제

• C:\Windows\hh.exe {local chm file path}

(4) 기법 실습

4-1. HTML Help Workshop 프로그램 다운로드 > 코드 작성

• HTML Help Workshop 프로그램을 다운로드하고, [그림 4]를 예시로 하여 코드 작성

4-2. HHP 파일 > Sublime Text3 > 컴파일할 수 있는 프로젝트 파일 만들기

• HHP 파일을 Sublime Text3로 작성하여 컴파일 할 수 있는 프로젝트 파일을 만들어 준다.

4-3. HTML Help Workshop 프로젝트 > Log 파일, CHM 파일 생성

• 다시 HTML Help Workshop으로 가서 프로젝트를 HHP 파일로 만들어주면 Log파일이 생성되고, CHM 파일도 같이 생성됨 

4-4. 악의적 CHM 파일 생성 (공격자 입장)

• CMD(명령 프롬프트)를 실행시키고, [그림 7]과 같은 명령어를 입력해주면 성공적으로 악의적인 CHM 파일 생성

• 실제로는 도움말이 켜지지만, 작성해놓은 계산기가 실행되는 것을 확인

(5) Compiled HTML File 추가 내용

• ID : T1223

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User

• 데이터 소스

  • 파일 모니터링

  • 프로세스 모니터링

  • 프로세스 명령 줄 매개변수 

• 방어 우회

  • 응용 프로그램 허용 목록

  • 디지털 인증서 유효성 검사

# Reference

https://attack.mitre.org/techniques/T1223/

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1223/T1223.md

[Incident Response] T1059 Command-Line Interface

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) Command-Line Interface란?

• Command-Line Interface는 컴퓨터 시스템과 상호 작용하는 방법을 제공하며, 여러 유형 운영체제 플랫폼에서 공통적 기능을 가짐

• 원격 데스크톱 응용 프로그램, 리버스쉘 세션 등을 통해 로컬이나 원격으로 상호 작용이 가능

• 공격자는 해당 기법을 사용하여 작업 중에 시스템과 상호 작용하고 다른 소프트웨어 실행 가능

• 완화 방법으로 실행 방지가 있으며, Windows Defender 응용 프로그램 제어, AppLocker 또는 소프트웨어 제한 정책과 같은 응용 프로그램 허용 목록 도구를 사용하여 불필요한 Command-Line Interpreters를 차단할 수 있음

(3) Command-Line Interface 내용 정리

3-1. 정상 용도

• 명령줄 인터페이스는 컴퓨터 시스템과 상호 작용하기 위한 보편적인 기능

• Windows 운영체제의 cmd, Linux 운영체제의 bash

3-2. 악의적 사용

• 공격자는 침해한 시스템에서 명령행 인터페이스를 사용하여 시스템 악용 가능

• 원격 데스크톱(RDP), 리버스쉘(Reverse Shell) 등으로 로컬/원격으로 상호 작용 가능 

3-3. 매개변수

• 임의적

3-4. 예제

• C:\Windows\System32\cmd.exe /c sc query

(4) 기법 실습

4-1. cmd(명령 프롬프트) 실행 > cmd /c sc query

• 내부적으로 실행 시키는 것은 일반 사용자도 간단하게 사용할 수 있지만, 공격자가 정보를 얻기 위해 악용할 가능성이 존재

• 명령어를 통하여 데이터가 출력되며, 해당 정보를 통하여 공격에 활용 가능

(5) Command-Line Interface 추가 내용

• ID : T1059

• 전술 : Execution

• 플랫폼 : Linux, Windows, MacOS

• 필요 권한 : User, Administrator, SYSTEM

• 데이터 소스

  • 프로세스 모니터링

  • 프로세스 명령행 매개변수

# Reference

https://attack.mitre.org/techniques/T1059/

[Incident Response] T1191 CMSTP

(1) Execution이란?

• 공격자는 내부 네트워크에서 악의적인 코드를 실행하고자 노력

• 로컬이나 원격 시스템에서 악의적인 코드를 실행하는 기술로 구성

• 절차(Procedure)를 진행하기 위해 다른 모든 전술(Tactis)의 기술(Techniques)과 짝을 이루어 활용

• 예시

  • LNK 파일 내에 포함된 Powershell 명령행 실행

  • 스피어피싱(Spearphishing) 메일 내에 .hta 확장자인 파일을 포함하여 실행하도록 유도

(2) CMSTP란?

• CMS(Microsoft Connection Manager) 프로필 설치 프로그램 (CMSTP.exe)은 Connection Manager 서비스 프로필을 설치하는 데 사용되는 명령 줄 프로그램

• CMSTP.exe는 설치 정보 파일 (INF)을 매개 변수로 사용하고 원격 액세스 연결에 활용되는 서비스 프로필을 설치

• 공격자는 악의적인 명령에 감염된 INF 파일을 CMSTP..exe에 제공할 수 있음

• Regsvr32 / 'Squiblydoo'와 유사하게 CMSTP.exe는 원격 서버에서 DLL 및 COM Scriptlets (.sct)을 로드하고, 실행하기 위해 남용될 수 있음

• CMSTP.exe는 적법하게 서명 된 Microsoft 응용 프로그램이므로, 실행은 AppLocker 및 기타 화이트리스트 방어를 우회 가능

• CMSTP.exe를 악용하여 사용자 계정 컨트롤을 우회하고 자동으로 상승 된 COM 인터페이스를 통해 악의적인 INF에서 임의의 명령 실행 가능

• 완화 방법으로 비활성화(기능 제거), 실행 방지 두 가지가 있음

• 그러나 비활성화는 VPN 연결 설치에 CMSTP.exe를 사용하지 않는 한 CMSTP.exe는 특정 환경에서 필요하지 않을 수 있음

• 실행 방지는 CMSTP.exe가 특정 시스템이나 네트워크에 필요하지 않은 경우, 공격자가 악용 될 가능성이 없도록 하려면 응용 프로그램 허용 목록을 사용하여 CMSTP.exe의 실행을 차단 

(3) CMSTP 내용 정리

3-1. 정상 용도

• CMS(Microsoft Connection Manager) 프로필 설치 프로그램(CMSTP.exe)

• 연결 관리자 프로파일을 설치하기 위해 사용

3-2. 악의적 사용

• 악의적 명령이 작성된 .inf 파일을 CMSTP에 제공

• 침해 서버 내에서 DLL 혹은 COM scriptlets(.sct)을 로드하고 실행

• 적법한 MS 인증서로 서명 > AppLocker 등의 방어 기법 우회 가능

• 사용자 계정 컨트롤(UAC) 우회 가능 > 권한 상승 가능

3-3. 매개변수

• .inf - Installation Information File (INF)

3-4. 예제

• C:\Windows\System\cmstp.exe /s {inf file path}

(4) 기법 실습

• CMSTP 기법은 서버가 구축되어 있는 환경에서만 사용할 수 있는 기법

• 따라서 PC에 추가적인 모듈 설치가 되어 있지 않다면 CMSTP 기법은 사용 불가능

그러므로 CMSTP 기법은 실습하지 못하였으므로, 예시 그림을 예로 들어 설명한다.

• 악의적으로 사용하기 위한 inf 파일 작성

• 내 로컬 PC에서 계산기를 실행하도록 하는 INF 파일

• 실제로 계산기 말고도, 외부에서 실행 파일을 다운로드 받아 시키는 것도 가능

• 정상적인 DLL에 NI 함수를 이용하여 SCT 파일을 실행 시킴

• SCT 파일에는 계산기를 실행시키는 코드를 담고 있음

• sct 파일은 XML 형식으로 작성되어 있음

• ActiveXObject가 계산기를 실행시키는 것을 확인 가능

(5) CMSTP 추가 내용

• ID : T1191

• 전술 : Defense Evasion, Execution

• 플랫폼 : Windows

• 필요 권한 : User

• 데이터 소스

  • 프로세스 모니터링

  • 프로세스 명령줄 매개변수

  • 네트워크 프로세스 사용

  • Windows 이벤트 로그

• 방어 우회

  • 응용 프로그램 허용 목록

  • 안티 바이러스

# Reference

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1191/T1191.md

https://attack.mitre.org/techniques/T1191/

[Incident Response] 초기 침투(Initial Access)

(1) Initial Access : Overview

• 조직 네트워크 내에서 초기 발판(foothold)을 확보하기 위한 기술

예시)

• 스피어피싱 메일 발송

• 워터링 홀 + DBD(Drived-by Download) 취약점에 의한 악성코드 감염

• 인터넷에 공개된 사내 웹 서버 취약점 악용 (SQL Injection, File Upload)

• 기타 등등 

(2) Drive by Compromise

• 일반적인 웹서핑 과정에서 악성 웹 사이트를 방문했을 때, 사용자의 웹 브라우저 내에 취약점 존재 시 악용 가능 (난이도 높음)

• 종종 워터링 홀 공격과 같이 엮어서 표적 공격으로도 활용 가능 

• Oauth 토큰 탈취나, 피싱 페이지를 이용한 정보 탈취로도 사용 가능 (난이도 낮음)

2-1. 일반적인 유포 기법

• 이미 침해에 성공한 일반적인 웹 서버에 Javascript 나 HTML 객체 삽입

• 합법적인 광고 제공 업체를 통해 광고 내에 삽입 (멀버타이징, Malvertising)

• 포럼 게시글, 댓글 등에 XSS 취약점을 이용한 Javascript 나 HTML 객체 삽입

• 워터링 홀 기법과 결합하여 유포

2-2. 일반적인 분석 방법

• 악성 파일 / 프로세스 생성 일자 확인

• 웹 브라우저 로그 수집 및 분석

• 악성 파일 / 프로세스 생성 시점 근처에 접속했던 사이트 리스팅

• 인텔리전스 평판 조회

• 분석 환경에서 접속하여 Javascript 혹은 HTML 코드 인수

• 입수한 코드를 분석하여 추가 행위 분석

• 악성 파일 / 프로세스 생성 시점 근처와 이후에 생성된 파일 리스팅

• 생성된 악성 파일 존재 시 분석 필요

2-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

2-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• F/W 로그

• E-MAIL 필터링 로그

• Vaccine 로그

• ETC

(3) Exploit Public-Facing Application

• 조직 내 인터넷에 공개된 서비스에 취약점 존재 시 악용 가능

• 주로 웹, 데이터베이스 서버에 대한 공격 대다수

예시)

• 웹 서버

• 데이터베이스 서버

• SMB 서버

• SSH 서버

• 기타 공개형 서비스

3-1. 일반적인 공격 기법

• 일반적으로는 인터넷에 공개된 서비스에 대해서 무차별 취약점 스캐닝 수행

• 가장 많이 노출된 웹 서버에 대한 공격 대다수

• OWASP TOP 10 / CWE TOP 25 : ATT&CK 매트릭스와 비슷한 컨셉의 공개 가이드라인

3-2. 일반적인 분석 방법

• 웹 쉘 존재 시 생성 일시 확인

• 침해 증상 존재 시 발생 일시 확인

• 일시 확인 후 웹 로그 조사

• 웹 로그 조사 후 최초 공격 성공 일시 확인

• 웹 서비스 취약점 확인

• 최초 공격 성공 일시 시점부터 이후에 수행된 악성 행위 확인

• 생성된 악성 파일 존재 시 분석 필요

3-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 웹 브라우저 로그

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsnJrnl:$J, $LogFile

• ETC

3-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• WAF 로그

• F/W 로그

• Vaccine 로그

• ETC

(4) External Remote Services

• VPN, Windows RDP 등 외부에 오픈 된 서비스에 불법적으로 접근하는 기법
• 이러한 외부 원격 접근 메커니즘에 의해 사용자는 기업 내부 리소스에 접근 가능

4-1. 일반적인 공격 기법

• 사전에 유출 된 / 수집한 자격 증명(Credential) 사용

• VPN에 연결 된 사용자 PC 악성코드 감염

• 패스워드 브루트포스(Bruteforce)

• VPN, RDP 등 신규 취약점 악용

4-2. 일반적인 분석 방법

• 이벤트 로그 내의 불법적인 접근 기록 확인 필요

• 원격 서비스 인증을 위한 유효한 정상 계정의 악의적 사용 탐지 필요

예시)

• 인증 로그 수집

• 비정상적인 접근 패턴

  • 비정상적인 활동 시간 (정상 업무 시간 이외의 시간에 접속)

  • 비정상적인 지점 (한국이 아닌 중국, 러시아 등)

  • 비정상적으로 많은 접근 실패

  • 기타

4-3-1. 일반적인 아티팩트 (호스트 환경)

• 이벤트 로그

• ETC

4-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• VPN 로그

• F/W 로그

• ETC

(5) Hardware Additions

• 공격자는 컴퓨터 액세서리 또는 네트워킹 하드웨어를 시스템 또는 네트워크에 도입하여 조직 내부에 접근하는 발판(foothold)으로 사용 가능

• APT 그룹이 실제 사용했다는 공개된 레퍼런스는 드문 기법

예시)

• 수동 네트워크 태핑

• MITM 암호화 브레이킹

• DMA 이용한 커널 메모리 읽기

• 기존 네트워크에 대한 새로운 무선 액세스 추가

• 기타 등등

• 즉, 악의적인 용도의 하드웨어 사용

(6) Replication Through Removable Media

• 악의적인 사용자는 이동식 매체에 악성코드를 복사하고, 직/간접적으로 목표 시스템에 매체가 삽입되어 실행될 때 자동 실행 기능을 활용하여 연결이 끊어지거나 망분리 된 네트워크에 발판(foothold) 설치 가능

• 내부 전파의 경우, 확보한 발판(foothold) 시스템에 이동식 매체가 삽입 시 매체에 저장된 실행 파일을 수정하거나 악성코드를 복사하고 합법적인 파일처럼 보이도록 파일 명을 변경하여 정상 사용자가 다른 시스템에서 실행하도록 기만

예시)

• SCADA(산업제어시스템) 해킹

• 스턱스넷

• 기타 다수의 USB용 악성코드 및 활용 사례 존재

(7) Spearphishing Attachment / Link / via Service

7-1. Spearphishing

• 특정 개인, 조직 또는 비즈니스를 대상으로 하는 전자 메일 또는 전자 통신 기기

• 악성 객체를 열어보게 끔 그럴듯한 유혹으로 기만

• 난이도가 낮지만 가장 많이 성공하는 공격으로, 공격자가 애용

7-2-1. Spearphishing Attachment

• Spearphishing 메일에 악성 파일 첨부하는 방식

• MS Office, PDF, ZIP, HWP 등 많은 옵션 존재

7-2-2. Spearphishing Link

• Spearphishing 메일에 악성 링크 첨부하는 방식

• 악성 링크에는 다운로드 링크 혹은 익스플로잇 코드 링크 포함

7-2-3. Spearphishing via Service

• 조직 내부 메일 주소가 아닌 타사 서비스로 Spearphishing 

• 일반적으로 SNS 등을 통해 친분 관계 형성 후 악성 객체 전달 

예시)

• 몸캠

• 매력적인 사진으로 프로필 사진 등록 후 SNS 메시지 등으로 접근

7-3-1. 일반적인 아티팩트 (호스트 환경)

• 라이브 데이터

• 이메일 로그 (Outlook, MS Mail, Web-browser-log, etc)

• 생성 된 파일

• 파일 시스템 테이블 ($MFT)

• 파일 시스템 로그, $UsrJrnl:$J, $LogFile

• ETC

7-3-2. 일반적인 아티팩트 (엔터프라이즈 환경)

• IDS / IPS 로그

• E-MAIL 필터링 로그

• F/W 로그

• Vaccine 로그

• ETC

(8) Supply Chain Compromise

• 최종 소비자가 제품을 제공받기 전에 제품 또는 제품 제공 메커니즘을 조작하여 데이터 또는 시스템 침해

8-1. 일반적인 유포 기법

• 개발 도구 변조

• 개발 환경 변조

• 소스 코드 리포지토리 변조 (공개 또는 개인)

• 인기 있는 오픈 소스 변조하여 종속성  존재하는 소스 코드까지 감염

• 소프트웨어 업데이트 / 배포 매커니즘 조작

• 감염된 시스템 이미지 (감염된 채로 출시되는 이동식 매체)

• 합법적인 소프트웨어를 수정된 버전으로 교체

• 합법적 유통 업체에 변형 / 위조된 제품 판매

• 배포 혹은 공급망 강제 차단 

분석 방법 및 아티팩트는 매우 광범위하고 다양하다.

(9) Trusted Relationship

• 공격자는 의도한 피해자에게 접근할 수 있는 조직을 침해한 후 이용 가능

• 조직은 종종 클라우드 기반 환경 뿐만 아니라, 내부 시스템을 관리 / 접근할 수 있도록 타사 협력 업체에게 높은 권한 부여

• 타사 협력 업체가 내부 네트워크 / 시스템에 접근하기 위해 사용하는 유효 계정이 손상되어 악용 가능

예시)

• IT 서비스 계약자 - 백신 공급업체 엔지니어, ...

• 관리 보안 공급자 - 헬프데스크 직원, 관리 업체 직원, ...

• 인프라 계약자 - 엘리베이터 관리 직원, ...

(10) Valid Accounts

• 조직 내부망 침투를 위해 공격자는 유효한 자격증명(Credential)을 얻으려고 노력하며, 그러한 다양한 방법들은 위에서 소개

• 이러한 유효한 자격증명(Credential)을 이용하면 공격자는 합법적인 사용자처럼 네트워크를 이동 가능

• 이러한 유효한 자격증명(Credential)을 이용하면 정상과 식별 / 분리하기 어려우므로 방어자는 탐지하기 난해

• 유효한 자격증명(Credential)의 종류에는 여러가지 존재

예시)

• 기본 계정(Built-in)

  • Windows 시스템 상에서는 게스트, 관리자 등 계정

  • 기타 OS, S/W 장비에서는 기본 공장용(factory) 계정, 공급자 설정 계정 등 장치 상에 내장된 계정

  • 오픈 소스 등에 초기 설정되어 있는 계정도 포함

  • 반드시 초기 설정되어 있는 계정을 변경하여 사용 필요

• 로컬 계정(Local)

  • 일반 사용자, 원격 지원, 서비스 또는 단일 시스템 또는 서비스 관리를 위해 필요에 의해 조직에서 구성한 계정

• 도메인 계정(Domain)

  • AD(Active Directory) 도메인 서비스가 관리하는 계정

  • 해당 도메인의 일부인 시스템 및 서비스에서 접근 / 권한 구성 가능

  • 도메인 관리자(Domain Admin) 계정은 사용자, 관리자 및 서비스 등 모든 AD 내의 계정들을 다루는 것이 가능하므로 공격자의 최종 목표

# Reference

https://attack.mitre.org/

[Incident Response]  ATT&CK Attack Framework

(1) ATT&CK Attack Framework 개념, 용어, 활용 방안

1-1. 개념

• ATT&CK IQ 플랫폼은 전 세계에서 가장 권위 있고 포괄적이며, 최신 공격 기술과 지원 전술의 집합인 MITRE ATT&CK 프레임워크를 자동으로 사용

• ATT&CK 지식 기반은 기업, 정부 등 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법 개발을 위한 기반으로 사용

• 사이버 공동체에서의 MITRE 위상과 ATT&CK 매트릭스에서의 지적 재산권의 독립성은 보안 운영 관리, 임원진 및 이사회가 사이버 보안 통제 성과, 위험 및 능력을 객관적으로 평가하고 측정할 수 있는 이상적인 플랫폼

• ATT&CK 기술 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발을 위한 기반으로 사용

• ATT&CK의 설립으로 MITRE는 보다 효과적인 사이버 보안 개발을 위한 커뮤니티를 모아 안전한 세상을 위한 문제를 해결하는 사명을 완수

1-2. 용어

• MITRE ATT&CK는 실제 관찰에 기반한 적의 전술과 기술에 대한 전 세계적으로 액세스 가능한 지식 기반

• MITRE는 킬 체인(Kill Chain)을 확장하여 다양한 전술을 포함시켰으며, 상세한 기술에 의해 뒷받침됨

• MITRE ATT&CK는 적대적 행동의 가장 크고 심도 있고 조직적이고 강력하게 뒷받침되는 지식 기반

1-3. 활용 방안

• 조직화된 접근 방식으로 보안 컨트롤을 검증하는데 필요한 공격을 체계적으로 선택하고, 보안 컨트롤 세트를 합리적으로 확장하기 위해 격차를 파악하는 데 도움이 됨

• 보안 컨트롤을 정밀하게 검증하고 보안 틈새에 대한 가시성 확보

• 잠재적인 공격자가 활용할 수 있는 전술과 기법에 대한 잘 알려진 분류법을 가지고 있으므로, 이해 관계자나 사이버 수비수 및 공급 업체가 위협의 정확한 특성과 이를 무력화시킬 수 있는 사이버 방어 계획의 객관적인 평가에 대해 명확하게 의사소통할 수 있도록 하는 공통 어휘집 제공

• 보안 컨트롤이 올바르게 구성되었는지, 예상대로 수행되었는지, 예상 투자 수익을 제공하는지 등을 즉시 확인할 수 있으므로 매우 유용

• MITRE ATT&CK 지식 기반을 통해 전술적 경험을 전략적 위협 인텔리전스 기능으로 전환 가능

• 보안 프로그램의 개별 자산이 특정 공격에 어떻게 대응하는지 식별 가능

• 최소한의 Onboarding만으로 사용하기 쉽고, 현재 보유하고 있는 보안 기술과 통합    

(2) ATT&CK Attack Framework 활용 Life Cycle, Cyber Kill-Chain 설명

2-1. 사이버 공격 라이프 사이클 (Life Cycle)

• 사이버 공격 라이프 사이클은 록히드 마틴의 사이버 킬 체인, 통합 CKC, MITRE 등과 같이 다르게 개발된 킬 체인의 기본

• 기본 단계나 단계는 동일하며, 사용과 개발은 그들이 본 것과 원하는 방법에 따라 다름

• MITRE는 직접 경험을 바탕으로 사이버 공격 라이프 사이클을 이용한 킬 체인 단계를 자체적으로 개발하였으며, 이를 ATT&CK라고 부름

• 어떤 조직이 사이버 공격 라이프 사이클을 채택할 때, 그들은 탐지하는 것에 집중하기 위해 방어하려고 함

• 사이버 공격 라이프 사이클은 공격 방법에 대해 패턴화 시킨 것을 뜻함

1. Initial Compromise : 공격자가 대상에 악성코드나 백도어를 설치하는 단계

2. Establish Foothold : 공격자가 실행하는 단계

3. Escalate Privilege : 공격자가 서버에서의 권한을 높이는 단계

4. Internal Reconnaissance : 내부 정찰 단계이며, 다른 시스템으로 이동하기 위해 탐구하는 단계

5. Move Laterally : 공격자가 목표로 하는 시스템으로 이동하는 단계

6. Maintain Presence : 지금은 필요한 정보나 데이터가 없을 수도 있지만, 목표를 위해 유지하는 단계

2-2. 사이버 킬 체인 (Cyber Kill-Chain)

• 공격 라이프 사이클에 대한 방법으로 공격자가 공격을 진행할 때, 이 부분을 집중적으로 모니터링하여 공격자가 다음 공격을 진행하기 전에 끊어버리자는 방어 전술을 의미

• 다음 단계로 진행을 하지 못하게 하면 공격자는 최종 목표를 달성하기 어려움

• 즉, 공격자가 이미 우리 내부 네트워크에 침입해있다는 것을 가정하고, 방어하는 전략

• 원래는 실제 세상의 군사 용어에서 나온 전략

• 사이버 공격을 각 단계별로 분석하여, 각 단계에서 발생하는 위협 요소 파악 및 대응을 통해 모든 공격을 막을 수는 없지만 피해 최소화는 가능

• 크게 정찰(Reconnaissance), 무기화 전달(Weaponization and Delivery), 익스플로잇 / 설치(Exploit and Installation), 명령 및 제어(Command and Control), 행동 및 탈출(Action and Exfiltration) 단계로 구성될 때, 각각의 단계는 방어자 입장에서 공격 전과 공격 후로 나눌 수 있음

• 공격 전 단계에서 체인을 끊어내는 게 이 전략의 목표

• 프로세스상에 따른 대응이므로, 공격자가 지속적으로 특정 대상을 노리는 APT(지능형 지속 공격)를 설명할 때, 자주 언급되는 전략 중 하나

2-2-1. 단계별 사이버 킬 체인(Cyber Kill-Chain)

2-2-2. 록히드 마틴 사이버 킬 체인(Cyber Kill-Chain)

• 록히드 마틴은 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 인지하고, 공격 시작부터 종단까지 통합된 프로세스를 보여주는 사이버 킬 체인 모델을 제시

• 이 모델에 따라 공격 단계가 심화되기 전, 다음 단계의 대응 조치나 여러 단계들 중 한 단계의 시행을 사전에 막는 등 방어를 통해 공격자의 반복적이고 변칙적인 시도도 미리 대비할 수 있을 것

(3) ATT&CK Attack Framework TTP 12개 전술 설명

3-1. TTP(Tactis(전술) / Techniques(기법) / Procedure(절차))

• Tactis(전술) : 특정 위협 주체가 공격 기간 동안 단계적으로 수행한 위협 및 공격 방법을 의미 (사례화)

• Techniques(기법) : 특정 위협 주체가 공격 기간동안 중간에 결과를 얻기 위해 사용하는 해킹 및 기술

• Procedure(절차) : 특정 위협 주체가 공격 기간 동안, 각 단계에서 사용한 실제 공격 접근 방법 및 실제적 움직임

3-2. Tactis(전술) 12개 설명

1. 초기 접속(Initial Access) : 악성코드 유포 및 첨부 파일에 악성코드를 심어 공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성 행위를 위한 초기 진입 방식

2. 실행(Execution) : 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술

3. 지속(Persistense) : 공격 기반을 유지하기 위한 전술이며, 운영체제에서 사용하는 파일을 공격자가 만든 악의적 파일로 대체하여 지속적인 악성 행위를 수행하거나, 높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당

4. 권한 상승(Privilege Escalation) : 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술이며, 시스템의 취약점이나 구성 오류 등을 활용하고, 높은 권한을 가진 운영체제로 악의적 파일을 삽입하는 기법 또는 시스템 등록 기법 등으로 권한 상승

5. 방어 회피(Defense Evasion) : 공격자가 침입한 시간 동안 탐지당하는 것을 피하기 위해 사용하는 전술이며, 보안 소프트웨어 제거 및 비활성화, 악성코드 난독화 및 암호화가 포함되며 신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지

6. 접속 자격 증명(Credential Access) : 공격자가 계정 이름이나 암호 등을 훔치기 위한 전술로, 정상적 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고, 목적 달성을 위해 더 많은 계정 생성 가능

7. 탐색(Discovery) : 공격자가 시스템 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술이며, 공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향 정하기 가능

8. 내부 확산(Lateral Movement) : 공격자가 네트워크에서 원격 시스템에 접근한 후에 이를 제어하기 위해 사용하는 전술이며, 공격자는 자신의 원격 접속 도구를 설치해 내부 확산 수행이나 운영체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근

9. 수집(Collection) : 공격자가 목적과 관련된 정보 또는 정보 출처가 포함된 데이터 수집을 위해 사용하는 전술이며, 데이터를 훔치고 유출하는 것이 목적

10. 명령 및 제어(Command and Control) : 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술

11. 유출(Exfiltration) : 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술이며, 공격자는 데이터 탐지 회피를 위해 데이터 압축이나 암호화 후에 전송이나 데이터 크기 제한을 설정하여 여러 번 나누어 전송하는 방식 사용

12. 임팩트(Impact) : 공격자가 가용성을 낮추고 무결성을 손상시키기 위해 운영 프로세스, 시스템, 데이터를 조작 및 중단시키고 나아가 파괴하는 데 사용하는 전술

# Reference

https://attack.mitre.org/

http://www.igloosec.co.kr/BLOG_%EC%82%AC%EC%9D%B4%EB%B2%84%ED%82%AC%EC%B2%B4%EC%9D%B8(Cyber%20Kill%20Chain)%EB%AA%A8%EB%8D%B8%EC%9D%84%20%ED%86%B5%ED%95%9C%20SIEM%EC%9D%98%20%ED%99%9C%EC%9A%A9?searchItem=&searchWord=&bbsCateId=1&gotoPage=1