MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)

MITRE ATT&CK

• 공격자가 실제로 사용하는 전술(Tactics), 기법(Techniques), 그리고 이를 구현하는 절차(Procedures)를 구조적으로 정리한 프레임워크.
• 이를 활용할 경우 공격과정을 체계적으로 분석할 수 있으며, 보안 솔루션을 개선하거나 위협 탐지 및 방어 전략을 수립하는데 유용.

구조

 

1. 전술(Tactics)
공격의 "목적" 또는 목표, 현재 MITRE ATT&CK 매트릭스에서는 14개의 전술을 정의 하고 있음. (24년 11월 25일 기준)

2. 기법(Techniques)

기법은 공격자가 공격 목표를 달성하기 위해 사용하는 방법

전술(Tactics)	내용	기법(Techniques)
Initial Access (초기접근)	공격자가 시스템에 최초로 접근하는 방법.	- 피싱 - 어플리케이션 취약점 악용 - Drive-by Compromise
Execution (실행)	대상 시스템에서 악성 코드를 실행하거나 명령을 수행.	- PowerShell, Bash 등 명령어 실행을 통한 악성 코드 실행 - 시스템 취약점을 이용한 악성 코드 실행
Persistence (지속성)	공격자가 지속적인 접근 권한을 유지하는 방법	- 부팅 또는 로그인 시 악성코드 자동 실행 - 시스템 프로세스 생성 또는 수정을 통해 직속적으로 제어 - 예약된 작업을 통해 악성코드 주기적 실행
Privilege Escalation (권한상승)	상위 권한 획득	- 취약점 악용을 통한 권한상승 - Sudo 및 Sudo 캐싱
Defense Evasion (탐지회피)	탐지를 피하거나 방어 수단을 회피하는 방법	- 파일 또는 정보 난독화 - 파일의 타임스탬프를 변경하여 분석 회피 - 보안 소프트웨어 비활성화
Credential Access (자격증명접근)	인증 정보 획득	- Brute Force - Credential Dumping - 키로깅 또는 스크린샷을 이용해 사용자 입력을 캡처
Discovery (정보탐색)	시스템이나 네트워크 정보를 탐색	- 네트워크 서비스 스캔 - 시스템에서 중요한 파일과 디렉터리를 검색
Lateral Movement (측면이동)	네트워크 내에서 이동	- 네트워크를 통해 다른 시스템에 악성 파일 복사 - 네트워크 공유를 통해 다른 시스템에 접근하여 악성 코드를 실행 - 해시된 자격 증명을 이용하여 다른 시스템에 접근
Collection (데이터 수집)	데이터를 수집.	- 로컬 시스템에서 데이터 수집 - 피해자의 화면을 캡처하여 정보를 수집 - 클립보드의 내용을 추출하여 정보를 수집
Command and Control (명령제어)	감염된 시스템 원격제어 및 명령전달.	- HTTP, HTTPS 등을 사용하여 C2 서버와 통신 - 데이터를 암호화하여 보안 장치를 우회하고 C2 서버와의 통신을 유지 - 임시 도메인을 생성하여 C2 서버와 연결
Exfiltration (데이터 유출)	민감한 데이터를 식별하고 탈취. 공격자가 데이터를 저장할 외부 서버로 전송	- C2 채널을 통한 데이터 유출 - 웹 서비스를 통한 데이터 유출 - 대체 프로토콜을 통한 데이터 유출
Impact (영향)	시스템을 파괴하거나 데이터에 영향을 미침.	- 데이터를 암호화하여 사용자나 조직에 피해 - 데이터 파괴 - 시스템의 리소스를 탈취하거나 부하를 발생시켜 서비스 장애 유
Resource Development (리소스 개발)	사용할 악성코드, 스크립트, 인프라 계정 등 준비	- 공격자는 악성 활동을 지원할 인프라를 확보 - 이미 존재하는 인프라를 공격에 이용 - 악성 스크립트를 생성하거나 구매하여 공격에 사용
Reconnaissance (정찰)	대상에 대한 정보를 수집하여 공격 전략을 준비	- 시스템의 취약점을 찾기 위해 능동적으로 스캔을 수행 - 피해자의 개인정보를 수집하여 공격에 이용 - 웹사이트나 공개된 도메인 정보를 검색하여 공격 대상을 확인

 

※ Discovery(정보탐색)와 Reconnaissance(정찰) 차이.. 햇갈린 부분

    Discovery는 이미 공격자가 시스템에 침투한 후에 시스템 내의 정보를 탐색하는 과정이며, Reconnaissance는 공격자가 공격을 시도하기 전, 초기 단계에서 수행하는 외부 정보 수집 활동

 

3. 절차(Procedures)

MITRE ATT&CK 프레임워크에서 공격자가 특정 기법을 구현하는 구체적인 방식 또는 단계.

기법이 "공격자가 할수 있는 방법" 이라면, 절차는 그 기법을 "어떻게 실행" 했는지 표기하며, 이는 특정 공격그룹 or 악성코드가 사용하는 세부적인 실행방식을 나타내며, 기업의 보안담당자는 공격패턴을 이해하고 방어책을 준비하는데 이점이 된다.

 

절차의 특징

• 공격 그룹 또는 악성 코드에 따라 다르다.
  > 공격자 또는 그룹이 사용하는 공격특성, 랜섬웨어의 특성반영
  예시) ·특정 공격그룹은 "Mimikatz" 툴을 사용하여 시스템 메모리에서 비밀번호나, 자격증명과 같은 민감정보를 탈취하는 기술을 선호한다.
  · 랜섬웨어 그룹은 PowerShell을 사용하여 네트워크 내로 lateral movement 공격을 수행한다.
• 기법의 상세 구현
  > 같은 기법도 공격자 or 공격그룹마다 다르게 실행된다.
  예시)  · 특정 공격자는 ProcDump 툴을 사용하여 LSASS 메모리를 덤프
  · 공격그룹은 Mimikatz를 이용한 메모리덤프를 통해 자격증명을 추출
• 사용된 툴 및 명령
  > 사용된 툴, 스크립트, 소프트웨어, 명령어 등 구체적인 실행 방식을 묘사
• 상황에 맞는 실행
  특정한 환경이나 방어 수준에 따라 조정
  
  

※ 정리

"전술(Tactics)"은 공격자가 달성하려는 목표

"기법(Techniques)"은 목표를 달성하기 위해 사용하는 방법

"절차(Procedures)"는 기법을 구체적으로 실행한 세부방법

예시)

전술: Discovery(발견)

기법: File and Directory Discovery (파일 및 디렉터리 발견)

절차: 공격자가 dir /s 명령을 사용하여 특정 시스템에서 파일과 디렉터리를 검색.