MITRE ATT&CK 정리

https://attack.mitre.org/

MITRE ATT&CK®

 

빠르게 변화하는 악성코드를 대응하기 위해 기존 탐지 방법에서 추가로 행위 기반 탐지를 하여 공격자 행위(전략, 전술)가 중요해지는 중이다. 보안 회사에서 DWELL TIME(공격자가 내부망에 침투 후 실제 발견되는 시간)을 줄이려는 게 목표인데 차단도 중요 하지만 탐지시간을 줄여 빠르게 대응(방어) 하는 추세로 변화 중인 거 같다. 그래서 공격자의 행위나 해커그룹에 공격 방식등을 확인하고 어떻게 탐지하는지 까지 정보가 모아져 있는 마이트 어택이 뜨고 있는 이유인 거 같다.

 

MITRE

1958년에 설립된 미국의 비영리 민간 연구 기관

미궁의 정부 기관과 협력하여 국방,보안,헬스케어 등의 분야에서 전문적인 연구를 수행 (CVE, CWE, CAPEC, STIX, TAXII, Cybox, MAEC[악성코드], ATT&CK, DEFEND)

기존 탐지 방안에서 행위기반 탐지로 바뀌는 중 많이 사용

ATT&CK (Adversarial Tactics Techniques & Common Knowledge)

MITRE ATT&CK는 공격 라이프사이클의 다양한 단계에서 공격자가 사용하는 다양한 전술, 기술 및 절차(TTP)를 이해, 분류 및 설명하기 위한 포괄적인 프레임워크를 제공하고 공개된 침해사고분석 보고서, 악성코드 분석 보고서, 위협 그룹에 대한 정보를 분석하여 공격자들의 TTPs를 집대성하고 체계적으로 정리한 공개된 지식 베이스, post-exploitaion 과정에서 사용되는 위협 행위들을 일관되고 명확한 방식으로 분석 및 분류 공개된 출처에서 얻은 정보(OSINT)를 통해 확인된 TTPs들만 개시되어 있고 지속적으로 업데이트를 함.

 

---

고통 피라미드

고통 피라미드 https://detect-respond.blogspot.com

네트워크 아티팩트 : 네트워크에서 적대적인 활동으로 인해 발생하는 관찰 가능 항목입니다. 기술적으로 말하면, 적의 상호 작용의 결과로 네트워크를 통해 흐르는 모든 바이트는 아티팩트일 수 있지만 실제로 이는 합법적인 사용자의 활동과 악의적인 활동을 구별하는 경향이 있는 활동의 일부를 의미합니다. 일반적인 예로는 URI 패턴, 네트워크 프로토콜에 포함된 C2 정보, 고유한 HTTP 사용자 에이전트 또는 SMTP 메일러 값 등이 있습니다.

호스트 아티팩트(Host Artifacts) : 하나 이상의 호스트에서 적대적인 활동으로 인해 발생한 관찰 가능 항목입니다. 다시 한번, 우리는 악의적인 활동과 합법적인 활동을 구별하는 경향이 있는 사항에 중점을 둡니다. 이는 특정 맬웨어, 특정 위치에 삭제된 파일 또는 디렉터리의 특정 조각에 의해 생성되거나 특정 이름, 이름 또는 설명, 악성 서비스 또는 기타 특징적인 거의 모든 항목에 의해 생성된 것으로 알려진 레지스트리 키 또는 값일 수 있습니다.

도구 : 적이 임무를 완수하기 위해 사용하는 소프트웨어입니다. 대부분 이는 컴퓨터에 이미 설치되어 있는 소프트웨어나 명령이 아니라 함께 가져오는 것들입니다. 여기에는 스피어피싱을 위한 악성 문서를 생성하도록 설계된 유틸리티, C2 또는 비밀번호 크래커를 구축하는 데 사용되는 백도어 또는 손상 후 사용하려는 기타 호스트 기반 유틸리티가 포함됩니다.

전술, 기술 및 절차(TTP) : 정찰부터 데이터 유출까지, 그리고 그 사이의 모든 단계에서 적이 임무를 완수하는 방법입니다. "스피어피싱"은 네트워크에서 존재감을 확립하기 위한 일반적인 TTP입니다. "트로이 목마가 있는 PDF 파일을 사용한 스피어피싱" 또는 "ZIP으로 위장한 악성. SCR 파일에 대한 링크가 있는..."이 보다 구체적인 버전입니다. "캐시 된 인증 자격 증명을 덤프하고 Pass-the-Hash 공격에서 재사용하는 것"은 TTP입니다. PDF를 무기화하거나 Pass-the-Hash를 구현하는 방법은 다양하므로 여기서는 특정 도구에 대해 이야기하지 않습니다.

---

IOC와 TTPs 

IOC (Indicator Of Compromise, 침해지표)

• 시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트
• IOC로 주로 사용되는 정보 : 해쉬값, 파일 이름 및 경로, C2도메인, IP어드레스, URI, 레지스트리 키, 서비스 이름/정보, 스케줄 된 태스크 정보 등
• 특정 위협이나 공격이 발생했는지를 판단하기 위한 시그니처로 인식되고 활용되어 왔음
• 알려진 위협의 특정 인스턴스를 탐지하는 데 효과적이지만 기존 IOC와 일치하지 않으면 찾기 힘듦
• 일반적으로 바이러스 백신, IDS(침입 탐지 시스템), STEM(보안 정보 및 이벤트 관리) 플랫폼의 시그니처 기반 탐지에 사용됨

TTPs(Tactics, Techniques and Procedures)

• TTP는 위협 행위를 체계적으로 설명하기 위한 일종의 모델
• Tactics (전술)은 위협 행위의 목적을 나타냄
• Techniques (테크닉)은 위협 행위의 목적을 달성하기 위해 사용하는 테크닉을 의미함
• Procedures (프로시저)는 테크닉을 구현하기 위한 구체적인 절차와 방법을 의미함
• 특정 IOC가 없는 경우에도 TTP를 기반으로 악성 징후를 포착해 대응할 수 있음
• EDR에서도 사용됨

차이점은 IOC는 알려진 위협과 관련된 특정 지표에 초점을 맞추는 반면, TTP 기반 탐지는 미리 정의된 지표가 없을 수 있는 위협을 포함하여 더 넓은 범위의 위협을 탐지하기 위해 공격자의 행동과 전술을 이해하는데 중점을 둔다.

---