본문 바로가기
정보보안/보안공부

MITRE ATT&CK 프레임워크 정리 (정보보안기사 기출)

by 쭈로미 2021. 10. 15.

1. MITRE ATT&CK(마이터어택) 모델 개념과 구성요소 

- 실제 관찰된 공격 정보들을 시뮬레이션해서 조사, 전술/기술 내용을 담은 지식베이스 (knowledge base)

- 전통적인 사이버 킬체인의 개념과는 약간 관점을 달리하여 지능화된 공격의 탐지를 향상시키기 위해 위협적인 전술과 기술을 체계화(패턴화)한 것

https://attack.mitre.org/

 

MITRE ATT&CK®

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se

attack.mitre.org

- 활용 분야 중 하나로 BAS(Breach and Attack Simulation)가 있음

  . 조직의 침해사고 대응 역량을 판단하는데 사용되는 솔루션 분야 (FW, WAF 처럼 하나의 분야임)

   > 악성 메일 등 표적 공격을 시뮬레이션하는데 사용

   > 악성 멀웨어를 수행하는 것이 목적이 아니라, 공격 시나리오 수행 시 악성 멀웨어가 탐지되는 가를 식별하는게 목적

 

 

 

2. MITRE ATT&CK 모델의 TTPs

- 공격 목적(Tactics)과 그 목적을 이루기 위 한 공격 방식(Techniques), 그리고 그 공격 방식을 달성하기 위한 상세 기법(Procedures)으로 분류

- ex) 스피어피싱을 보면

Tactics (Initial Access) → Technique-main (Phishing) Technique-sub (Spearphishing Attachment)  
Procedure (PDF 문서의 익스플로잇을 이용한 공격 or HWP 문서의 스크립트를 이용한 공격 등

 

고통의 피라미드

- 왼쪽 세모는 탐지, 차단, 대응 기술 및 전략의 발전 방향

- 오른쪽 Trival~Tough 는 공격자 관점에서 고통의 정도

ex) 가장 상위 TTPs 로 탐지 시, 공격자가 우회/공격하기에 가장 Tough(어려움)

반면 hash값은 쉽게 우회 가능함

 


 

Q) MITRE ATT&CK 모델의 어떤 전술(Tactics)과 관련된 설명인가?

- 공격자가 네트워크 상에 있는 원격 시스템에 진입하고 제어 하는데 사용되는 전술

- 공격에 대한 목적을 달성하기 위해서는 지속적으로 네트워크를 조사하고 찾는 과정이 수반되며, 그 과정에서 다수의 시스템과 계정 정보를 활용하기도 함

- 공격자는 해당 전술을 완수하기 위해 표적 네트워크에 있는 원격 시스템에 RAT 도구를 설치하기도 하며, 운영체제에 기본 설치된 시스템 도구들을 사용/악용함

A) Lateral Movement (내부확산)


Q) MITRE ATT&CK 모델 “Enterprise” 카테고리에 있는 기술(Technique)에 대한 설명이다. 가장 연관성이 높은 전술(Tactics)은?

- 공격자는 표적 시스템에서 악성 코드를 거듭 실행하기 위해 윈도우의 태스크 스케쥴 기능을 악용

- 공격자는 윈도우의 태스크 스케쥴링을 시스템이 부팅할 때 실행 시키기도 하며, 이러한 기능적 특징은 권한이 높은 사용자가 강제로 임의의 코드를 실행하여 권한 상승에 악용될 수 있음

A) Persistence

 

 

 

 

 


※ 자세한 내용 참고

http://www.igloosec.co.kr/BLOG_MITRE%20ATT&CK%20Framework%20%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0?searchItem=&searchWord=&bbsCateId=1&gotoPage=1 

 

One Step Ahead 이글루시큐리티

01. 개요지금도 사이버 공간을 위협하려는 공격 시도는 계속되고 있다. 디도스, 랜섬웨어 등 사이버 공격은 갈수록 지능화·고도화 되어가고 있으며 따라서 여전히 많은 이들이 지속적 위협에 노

www.igloosec.co.kr

 

댓글