사이버 킬 체인 및 TTPs의 이해

<해킹 공격 방법론과 악성코드>

• 공격자가 직접 침투해 다양한 도구를 이용하여 시스템을 장악하고 내부 정보를 유출하며 악용 가능. 이 과정에서 사용한 도구들은 모두 악성코드에 해당하며, 필요에 따라 분석할 역량 필요
• 사이버 킬 체인
  • 최근 침투 동향은 군사적인 용어인 킬 체인을 사이버 세계에 접목한 사이버 킬 체인으로 언급
  • 전통적인 킬 체인
    • 1991년 걸프전 당시, 미공군이 처음 사용
    • 이를 통해 적의 공격 시설을 탐지하여 파괴 -F2T2EA 구성 방식을 가짐
    • Find: 대상의 위치 파익
    • Fix: 위치 수정 및 대상의 이동 제제
    • Track: 대상의 움직임 모니터링
    • Target: 대상에 사용할 무기 선정. 원하는 목적 수행
    • Engage: 대상에 무기 사용
    • Assess: 대상에 적용한 무기와 사용 이후의 정보를 수집하여 공격의 영향 평가
  • 사이버 킬 체인
    • 록히드 마틴에서 언급한 킬 체인을 사이버 보안으로 접목
    • 정찰 수행: 공격 대상의 정보 조사
    • 무기 준비: 공격에 사용할 악성코드나 도구 준바
    • 공격 전달: 악성코드를 감염시키거나 공격하기 위해 공격 수행
    • 공격 실행: 전달한 공격이 다양한 조건에 따라 실행
    • 무기 설치: 전달한 공격이 실행되어 악성코드와 같은 무기가 설치됨
    • 연결 제어: 무기가 설치되면원격에서 연결되어 통제할 수 있는지 확인
    • 공격 활동: 공격당한 대상에서 공격 수행

<ATT&CK와 TTPs>

• TTPs 방법론은 기존에 있던 일반적 해킹 절차와는 다르게 전략, 기술, 절차의 구분으로 분류하여 공격 기술들을 다양하게 분류하는 새로운 패러다임으로 떠오르고 있음
• TTPs 방법론
  • 여러 해킹 기법들의 진화로 사이버 보안 팀 내에서 새로운 전략, 방법론이 제시됨
  • TTPs는 Tactics, Techniques and Procedures로 공격 기법에 대한 사이버 위협 인텔리전스로 활용
  • 특정 위협 행위자 또는 집단과 관련된 활동, 방법, 패턴을 의미
  • TTPs 구분의 예
    • 특정 악성코드 집단의 특성 분석
    • 특정 악성코드 변종
    • 특정 공격 패탄
    • 공격자가 사용하는 인프라
    • 피해자 공격 대상
  • 전략(Tactics)
    • Initial Access
      • 네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는 공격 벡터
      • 전술(Techniques)
        • Valid Accounts: 공격자는 Credential Access(신뢰성 접근)을 이용하여 서비스 계정의 증명을 훔쳐 초기 접근 권한을 획득하는 기술
        • Spearphishing link: 스피어 피싱의 변종으로 이메일 내 악의적인 링크를 포함하여 보내는 기술
        • Supply Chain Compromise: 데이터 또는 시스템을 손상시키기 위해 최종 소비자가 제품을 수령하기 전에 제품 또는 전달 메커니즘 조작하는 기술
    • Execution
      • 로컬 또는 원격 시스템에서 공격자가 만든 코드를 실행하는 기술
      • 종종 lateral movement 기술과 혼용하여 사용되기도 함
      • 전술(Techniques)
        • Execution through API: 시스템 API를 통해 바이너리 파일을 실행하는 공격
        • Command-Line Interface: 운영체제 플랫폼의 많은 명령어를 이용한 공격 기술
        • PowelShell: 윈도우 운영체제 내 존재하는 Command-Line Interface와 스크립트를 이용한 공격 
        • Source: 명령 쉘 또는 실행 파일을 이용하여 공격하는 기술
    • Persistence
      • 시스템에 대한 접근, 조치, 구성 변경을 이용해 지속적으로 존재하는 공격
      • 시스템 재시작, 접근 실패 등으로 인한 시스템 재접근이 가능하도록 재실행 또는 백도어로 대체
      • 전술(Techniques)
        • External Remote Services: VPN과 같이 외부로부터의 연결 서비스를 허용하는 기술
        • Hypervisor: 운영시스템 내 하이퍼바이저 기능을 활용하여 루트킷의 기능으로 사용하는 기술
        • Modify Exisiting Service: 기존 서비스를 수정하여 공격자가 원하는 방향으로 실행하는 기술
        • Registry Run Keys / Start Folder: 시작프로그램을 등록하여 재시작시 자동 실행하는 기술
        • Web Shell: 웹서버 내 웹 쉘을 등록하여 원하는 시점에 웹 쉘을 통해 시스템에 접근하는 기술
    • Privilege Escalation
      • 공격자가 시스템이나 네트워크에서 더 높은 수준의 사용 권한을 얻는 공격
      • 주로 시스템의 약점을 이용하여 로컬 관리자 또는 시스템의 권한을 얻음
      • 전술(Techniques)
        • Bypass User Account Control: 사용자 접근 통제를 우회하여 상위 권한을 획득하는 기술
        • DLL Injection: 실행되는 프로그램이 불러오는 DLL의 값을 수정하여 상위 권한을 획득하는 기술
        • Exploitation of Vulnerability: 유닉스 계열 운영체제 중 Setuid, Setgid 권한을 이용하여 상위 권한을 획득하는 기술
    • Defense Evasion
      • 시스템을 방어하기 위해 설치된 시스템의 탐지를 회피하거나 방어를 우회하는 공격
      • 방어 우회로 이득이 생기는 다른 범주들과 유사
      • 전술(Techniques)
        • Bypass User Account Control:사용자 접근 통제 우회를 통해 시스템에 접근하는 기술
        • Binary Padding: 실행 파일의 변경을 이용해 변경된 파일 해시 값 탐지 방어를 우회하는 기술
        • Rootkit: 시스템의 API를 수정하여 악성코드가 보이지 않도록 하는 기술
        • Hidden Files and Directiries / Uwers / Window: 파일, 디렉토리, 사용자, 윈도우 등을 숨기는 기술
    • Credential Access
      • 상업 환경에서 사용되는 시스템, 도메인, 서비스 자격 증명에 접근, 통제하는 기술
      • 공격자는 관리자 또는 사용자 계정으로부터 정상적인 자격 증명을 얻으려고 시도함
      • 정상적인 자격증명 과정으로 탐지가 어려움
      • 전술(Techniques)
        • Brute Force: 무작위로 값을 대입하여 패스워드 정보를 탈취하는 공격 기술
        • Create Account: 시스템에 충분한 권한이 있는 계정을 생성하여 공격자가 쉽게 접근하는 기술
        • Exploitation of Vulnerability: 취약점을 이용하여 권한이 있는 정상적인 계정에 접근하는 기술
        • Network Sniffing: 네트워크 정보를 모니터하여 패킷 정보 내 계정 정보를 탈취한 후 접근하는 기술
        • Private Keys: 시스템 내 계정 정보 또는 키로깅을 통해 계정 정보를 탈취한 후 접근하는 기술
    • Discovery
      • 공격자가 시스템에 대한 지식을 얻을 수 있는 기술
      • 시스템 내에 있는 자산의 가치를 파악하고 목표 방향을 잡을 수 있는 도움을 제공
      • 전술(Techniques)
        • Account Discovery: 시스템 또는 도메인 계정의 리스트를 추출하는 공격 기술
        • File and Directory Discovery: 시스템 내 파일과 디렉터리 리스트를 추출하는 공격 기술
        • Network Service Scanning: 시스템 내 어떤 네트워크 서비스를 제겅하는지 추출하는 공격 기술
        • Remote System Discovery: 원격 시스템 정보를 추출하는 공격 기술
        • System Time Discovery: 산업 환경 내 동기화 시간 정보들을 추출하는 공격 기술
    • Leteral Movement
      • 원격 접속 도구 없이 원격에 위치한 시스템의 네트워크로 이동하여 공격 또는 탐색하는 기술
      • 공격자와의 실시간 연결이 아니기 때문에 네트워크 전역의 불필요 행위를 할 수도 있음
      • 전술(Techniques)
        • Logon Scripts: 시스템에 로그인 시 실행하는 스크립트를 이용한 기술
        • Remote Service: 공격자는 터미널 서비스에 로그인하는 사용자를 통해 공격하는 기술
        • Windows Admin Share: 관리자만 접근 가능한 숨겨진 네트워크(C$, ADBIN$)를 통한 공격 기술
        • Windows Remote Management: winrm와 같은 윈도우 서비스 프로토콜을 이용한 기술
    • Collection
      • 민감 데이터, 파일 정보를 식별하고 수집하는데 사용되는 기술
      • 공격자가 정보를 검색할 수 있는 시스템 또는 네트워크 인프라 정보 수집 포함
      • 전술(Techniques)
        • Sudio Capture: 컴퓨터 장치 또는 어플리케이션 내부의 오디오 녹음 기능을 이용한 도청 기술
        • Clipboard Data: 클립보드 내에 있는 정보를 수집
        • Data from Local System / Network Shared Drive / Removable Media: 로컬 시스템, 네트워크 공유 드라이버, 삭제된 미디어 데이터를 식별 및 수집하는 기술
        • Email Collectiom: 이메일 내 데이터를 식별 및 수집하는 기술
        • Input Capture / Screen Capture: 입력 값(ex. 키로깅) / 스크린샷 정보를 수집하는 기술
    • Command and Control
      • 대상 네트워크 내에서 상대방이 공격자 통제 내에 있는 시스템과 통신하는 기술
      • 시스템 구성 및 네트워크 방식에 따라 다양하고 은밀한 수준의 명령, 제어, 설정 기술
      • 전술(Techniques)
        • Commonly Used Port: 공격자는 커뮤니케이션을 위해 방화벽, IDS 등의 탐지 또는 차단을 우회하는 포트를 사용하여 공격하는 기술
        • Connection Proxy: 시스템 간에 네트워크를 연결하는 중개기를 통해 명령을 전달하는 기술
        • Remote File Copy: 한 시스템에서 다른 시스템으로 복사되어 도구나 다른 파일을 준비하는 기술 
    • Exfiltration
      • 공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 기술
      • 탐지를 피해 데이터 압축 또는 암호화 등의 기술을 사용하여 탈취
      • 전술(Techniques)
        • Data Compressed: 데이터 유입 차단이 되기 전 데이터를 분할하거나 명령을 압축하는 기술
        • Data Encrypted: 탐지 우회 또는 노출을 막기 위해 데이터를 암호화하는 기술
        • Exfilteation Over Altemative Protocol: 메인 프로토콜이 아닌 다른 프로토콜을 이용하는 기술
    • Impact
      • 비즈니스 및 운영 프로세스를 조작하여 공격자가 가용성을 방해하거나 무결성을 손상시키는 전략
      • 공격자들이 최종 목표를 위해 수행하거나 기밀성 침해 공격을 덮기 위해 사용할 수 있음
      • 전술(Techniques)
        • Network Denial of Service: DoS 공격을 수행하여 사용자의 대상 자원의 가용성을 저하시키거나 차단하는 공격을 수행
        • Data Encrypted for Impact: 특정 대상 또는 많은 양의 대상 시스템들의 데이터를 암호화하고 복호화 키에 대한 접근을 보류하여 데이터를 접근할 수 없도록 수행
        • System Shutdown/Reboot: 공격자가 임의로 시스템을 종료시키거나 재부팅

 

 

 

 

악성코드 유형과 유입경로(이메일과 웹을 중심으로) 강의 공부 후 내용 정리한 것이니 참고바랍니다.

https://www.inflearn.com/course/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C%EC%9C%A0%ED%98%95-%EC%9C%A0%EC%9E%85%EA%B2%BD%EB%A1%9C/dashboard

[지금 무료] 악성코드 유형과 유입경로(이메일과 웹을 중심으로) | 한국정보보호교육센터 - 인프