IT/영어 공부노트
[문서읽기] MITRE ATT&CK Framework 이해하기 본문
MITRE(마이터) 미국 연방정부의 지원을 받으며 국가안보관련 업무를 수행하던 비영리 연구개발 단체로, 사이버 위협을 연구하며 만들어 진 것이 ATT&CK Framework 이다.
사이버 킬체인
사이버 공격의 각 단계별 위협요소를 제거하기 위한 일렬의 활동으로 모든 공격을 막아낼 수 없어 공격자 입장에서 공격 분석을 통해 단계별 연결고리를 사전에 끊어 피해를 최소화 하자는 목표의 전략이다.
사이버 킬체인은 각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 묘사해 나열한 것이다. 해서 관련 공격 도구나 해킹그룹 등의 정보와의 연결고리가 없다.
MITRE ATT&CK Framework
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)
실제 사이버 공격 살례를 관찰한 후 공격자가 사용한 악의적행위(Adversary behaviors)에 대해서 공격 방법(Tactics)과 기술(Techniques)의 관점으로 분석해 다양한 공격 그룹의 공격 기법들에 대한 정보를 분류해 목록화 해 놓은 표준적인 데이터들이다.
MITRE ATT&CK 홈페이지 https://attack.mitre.org/
MITRE ATT&CK®
MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se
attack.mitre.org
Matrix 표 - 공격 기술인 Tactic, Technique 개념과 관계를 시각화 한 것
- 각 Tactic는 공격 목표에 따라 다양하게 활용됨
- Enterprise, Mobile, ICS 버전으로 제공함
Tactics(공격 전술 정보) - Tactics는 공격자의 공격 목표에 따른 행동을 나타냄
- 상황에 따른 각각의 Techniques에 대한 범주 역할
- 공격 목적에 따라 지속성, 정보탐색, 실행, 파일 추출 등 다양하게 분류
Techniques(공격 기술 정보) - 공격자가 목표에 대한 Tactic을 달성하기 위한 방법을 나타냄
- 공격자의 공격을 통해 발생하는 결과를 명시
- 앞서 분류된 Tactics에 따라 다양한 Techniques들이 존재할 수 있음
Mitigations(공격 완화 정보) - 방어자가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동
- 여러 Techniques에 대한 범주 역할을 하고 보안의 목적과 시스템 상황에 따라 중복 적용 가능
- 과거 유사 사례에서의 대응책 정보를 활용, 새로 탐지된 공격에 대한 해결방안 제시 가능
Groups(공격 단체/조직 정보) - 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리
- 주로 사용된 공격 방법과 활동 분석, 공식 문서 등을 바탕으로 해킹조직을 특정하여 정의
- 공격에 사용된 Technique과 Software 목록을 포함하고 있으며 이와 매핑해 해킹그룹이 즐겨 사용하는 공격 형태를 제공 -> 새로운 공격 발생 시, 기존 Matrix를 활용, 비교 가능
- 각 그룹과 관련된 또 다른 그룹을 함께 표시하고 공격에 대상과 특징을 함께 설명 -> 탐지된 공격을 즐겨 사용하는 해킹그룹이나 공격의 이유/목적 등 추측 가능
Software(공격 도구 정보) - 공격자가 목표 대상을 공격할 때 사용된 공격코드나 기본 도구나 Open-Source를 목록화하여 정리함
- 공격에 사용되는 다양한 도구의 모음으로, 해킹 조직마다 다른 이름을 사용할 수도 있어 같은 도구여도 여러 이름을 가질때가 있음
MITRE ATT&CK Matrix 살펴보기
Enterprise
범용적인 기업환경에 적용되는 네트워크 및 다양한 OS 및 플랫폼에 대해 기업 시스템 침해 행위를 세부적으로 모델링하기 위해 만들어진 프레임워크다.
공격자의 TTP와 네트워크 공격 활동 특징을 기반으로 작성되었으며, 네트워크 침입 방어 기술과 프로세스 및 정책 등을 종합적으로 평가할 수 있다.
| ID | 이름 | 설명 |
| TA0043 | Reconnaissance 정찰 | 내부정찰단계로 다른 시스템으로 이동하기 위해 탐구하는 단계 |
| TA0042 | Resource Development 자원 개발 | 다른 시스템으로 이동하기 위한 정보로 계정 등을 확보하는 단계 |
| TA0001 | Initial Access 초기 접근 단계 | 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함 |
| TA0002 | Execution 실행 | 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 행동 |
| TA0003 | Persistence 지속 | 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동 |
| TA0004 | Privilege Escalation 권한 상승 | 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동 |
| TA0005 | Defense Evasion 방어 회피 | 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위한 행동 |
| TA0006 | Credential Access 접속 자격 증명 | 시스템, 도메인 서비스, 자격증명 등을 접근하거나 제어하기 위한 행동 |
| TA0007 | Discovery 탐색 | 시스템 및 내부 네트워크의 정보를 얻기 위한 행동 |
| TA0008 | Lateral Movement 내부 확산 | 네트워크 상의 원격 시스템에 접근한 후 이를 제어하기 위한 행동 |
| TA0009 | Collection 수집 | 공격 목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동 |
| TA0011 | Command And Control 명령 및 제어 | 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동 |
| TA0010 | Exfiltration 유출 | 공격자가 네트워크에서 데이터를 훔치기 위한 행동 |
| TA0040 | Impact 임팩트 | 공격 목표의 가용성과 무결성을 손상시키기 위한 행동 |
ICS
산업제어시스템에 적용되는 모델은 관련 네트워크와 산업 생산 영역에서 설비의 운영을 제어, 관리하는 시스템을 대상으로 한 공격 유형과 과정의 내용이다.
MITRE ATT&CK Framework 이해하기
01. 개요 지금도 사이버 공간을 위협하려는 공격 시도는 계속되고 있다. 디도스, 랜섬웨어 등 사이버 공격은 갈수록 지능화·고도화 되어가고 있으며 따라서 여전히 많은 이들이 지속적 위협
www.igloo.co.kr
