1. MITRE ATT&CK(마이터어택) 모델 개념과 구성요소
- 실제 관찰된 공격 정보들을 시뮬레이션해서 조사, 전술/기술 내용을 담은 지식베이스 (knowledge base)
- 전통적인 사이버 킬체인의 개념과는 약간 관점을 달리하여 지능화된 공격의 탐지를 향상시키기 위해 위협적인 전술과 기술을 체계화(패턴화)한 것
- 활용 분야 중 하나로 BAS(Breach and Attack Simulation)가 있음
. 조직의 침해사고 대응 역량을 판단하는데 사용되는 솔루션 분야 (FW, WAF 처럼 하나의 분야임)
> 악성 메일 등 표적 공격을 시뮬레이션하는데 사용
> 악성 멀웨어를 수행하는 것이 목적이 아니라, 공격 시나리오 수행 시 악성 멀웨어가 탐지되는 가를 식별하는게 목적
2. MITRE ATT&CK 모델의 TTPs
- 공격 목적(Tactics)과 그 목적을 이루기 위 한 공격 방식(Techniques), 그리고 그 공격 방식을 달성하기 위한 상세 기법(Procedures)으로 분류
- ex) 스피어피싱을 보면
Tactics (Initial Access) → Technique-main (Phishing) → Technique-sub (Spearphishing Attachment) →
Procedure (PDF 문서의 익스플로잇을 이용한 공격 or HWP 문서의 스크립트를 이용한 공격 등
- 왼쪽 세모는 탐지, 차단, 대응 기술 및 전략의 발전 방향
- 오른쪽 Trival~Tough 는 공격자 관점에서 고통의 정도
ex) 가장 상위 TTPs 로 탐지 시, 공격자가 우회/공격하기에 가장 Tough(어려움)
반면 hash값은 쉽게 우회 가능함
Q) MITRE ATT&CK 모델의 어떤 전술(Tactics)과 관련된 설명인가?
- 공격자가 네트워크 상에 있는 원격 시스템에 진입하고 제어 하는데 사용되는 전술
- 공격에 대한 목적을 달성하기 위해서는 지속적으로 네트워크를 조사하고 찾는 과정이 수반되며, 그 과정에서 다수의 시스템과 계정 정보를 활용하기도 함
- 공격자는 해당 전술을 완수하기 위해 표적 네트워크에 있는 원격 시스템에 RAT 도구를 설치하기도 하며, 운영체제에 기본 설치된 시스템 도구들을 사용/악용함
A) Lateral Movement (내부확산)
Q) MITRE ATT&CK 모델 “Enterprise” 카테고리에 있는 기술(Technique)에 대한 설명이다. 가장 연관성이 높은 전술(Tactics)은?
- 공격자는 표적 시스템에서 악성 코드를 거듭 실행하기 위해 윈도우의 태스크 스케쥴 기능을 악용
- 공격자는 윈도우의 태스크 스케쥴링을 시스템이 부팅할 때 실행 시키기도 하며, 이러한 기능적 특징은 권한이 높은 사용자가 강제로 임의의 코드를 실행하여 권한 상승에 악용될 수 있음
A) Persistence
※ 자세한 내용 참고
'정보보안 > 보안공부' 카테고리의 다른 글
18회 정보보안기사 실기 시험 문제 복기 (1) | 2021.10.30 |
---|---|
OECD 프라이버시 보호 8원칙 (0) | 2021.10.25 |
OWASP TOP10 2021 (한글) - 빈칸문제 드래그 (0) | 2021.10.24 |
파일리스(Fileless) 공격 개념/LoL이란/프로세스 인젝션 (0) | 2021.10.20 |
위험관리 / 위험분석(정량적&정성적 방법) 총정리 - 빈칸문제 (0) | 2021.10.16 |
댓글