MITRE ATT&CK Matrix란?

 

ATT&CK Matrix란 ?

ATT&CK Matrix란 침해사고 및 사이버 공격이 있었을 때, 공격자가 피해컴퓨터에 하였던 대표적인 행위를 분류하고 행위에 대하여 보다 쉽게 설명할 수 있도록 만든 가이드라인이다.

대표사진 삭제

https://attack.mitre.org/ 사이트의 메인 화면

 

그렇다면 ATT&CK Matrix를 사용하는 이유는 ?

위에 설명한 것과 같은 이유로 ATT&CK Matrix를 사용하여 침해사고대응 보고서를 작성하였을 때,

공격자의 행위와 행위의 이유를 한 눈에 볼 수 있게 만들어 앞으로의 보고서의 흐름을 더욱 이해하기 쉽게 하기 위하여 사용한다.

 

ATT&CK Matrix의 이해

 

사진 삭제

사진 설명을 입력하세요.

음... 이미지가 잘 안보이려나 아무래도 광범위한 컴퓨터 공격에 대해 아무리 압축한다고 해도 항목이 많을 수 밖에 없기에... 더욱 공부하기 위하여 블로그와 함께 같이 홈페이지에 들어가 직접 본인이 확인해보는게 더욱 공부에 도움이 될 것 이다! 어택 매트릭스는 정찰,자원 개발, 초기 액세스, 실행, 지속성, 권한 에스컬레이션, 방어 회피, 자격 증명 액세스, 발견, 측면 이동, 수집, 명령 및 제어, 유출, 영향으로 14개의 카테고리로 나뉘어 있으며 총 224개의 기술에 대한 항목이 각각 존재한다. 카테고리에 대한 짧지막한 설명을 해 본다면

 

정찰은 공격자가 공격을 하기 전 공격에 필요한 정보를 수집에 대한 행위를 모아논 카테고리이다.

이 카테고리에 대표적으로 쓰일 수 있는 공격자의 행위는 nmap을 이용한 portscan, 네서스(Nessus)를 이용한 취약점 스캐닝도 있겠지만 사회공학적공격을 이용한 피해자의 조직에 대한 정보, 피해자의 사내 이메일 등 공격전에 공격에 필요한 정보를 얻을 수 있는 항목이 정찰 카테고리에 있다.

 

자원 개발은 공격자가 공격 대상을 지정할 때 사용할 수 있는 리소스를 생성, 구매 또는 손상, 도용하는 기술로 구성된다. 이러한 리소스에는 인프라, 계정 또는 기능이 포함됩니다. 공격자는 이러한 리소스를 활용하여 구매한 도메인을 사용하여 명령 및 제어를 지원하거나, 초기 액세스의 일부로 피싱을 위한 이메일 계정을 사용하거나, 코드 서명 인증서를 훔쳐 방어 회피를 지원하는 등 공격자의 수명 주기의 다른 단계를 지원하는 데 활용할 수 있다.

 

초기 액세스는 다양한 취약점 및 진입 경로를 사용하여, 네트워크 내에 기초 발판을 마련하는 항목으로 구성되어 있습니다. 대표적으로 피싱 메세지, 이메일을 통한 악성코드 유포 등이 있습니다.

 

실행은 공격자가 공격에 필요한 악성코드를 실행하는 기술로 구성이 되어있다. 악성코드를 실행하는 기술로는 대표적으로 Windows PowerShell, Cmd를 이용한 공격이 있으며, 윈도우 스케줄러, 서비스를 이용하여 지속가능한 공격에 이용되는 항목 또한 구성 되어있다.

 

지속성은 공격자와의 어떠한 연결이 컴퓨터의 종료, 와이파이를 사용하는 노트북의 경우 와이파이가 끊키고, 다시 인터넷에 연결되었을 때 어떻게 공격자와 다시 연결할 것이냐에 대한 항목을 구성하여놓은 곳 이다. 대표적으로 Registry의 Run키와 윈도우 스케줄러, 그리고 윈도우 서비스를 이용하여 부팅 시 자동으로 악성코드의 실행을 도와주어 지속가능한 공격이 가능케하는 항목으로 구성되어있다.

 

권한 에스컬레이터에 대해 이 글을 보는 여러분은 아마 처음 마이티 어택을 접하는 사람일 확률이 높다고 생각한다 그래서... 권한 에스컬레이터라는 단어를 처음 접하는 사람이 많을 텐데, 정말 쉽다 에스컬레이터는..! 더욱 높은 층으로 쉽게 가기 위하여 사용하는 기계가 아닌가! 그 처럼 권한 에스컬레이터는 악성코드가 더욱 높은 권한에서 실행될 수 있도록 윈도우 같은 경우 대표적으로 PPID(상위 프로세스 아이디)를 스푸핑하는 방법도 존재합니다.

 

방어 회피는 사용자가 공격을 알아차려 공격에 대한 대응을 하기 힘들도록 하는 작업을 방어 회피라고 한다.

대표적으로 UAC를 낮추어 악성코드가 숨겨진 파일이 실행될 때 원래 UAC가 높게 설정되어 있다면, 실행할 때 실행 전 경고창이 뜨지만, UAC가 맨 아래에 설정되어 있다면, 경고 창이 뜨지 않는 그런 부분도 방어 회피라고 할 수 있고, 안티-디버깅, 간단한 파일 숨기기를 하여 숨긴 파일 표시를 하지 않는다면, 표시되지 않게 하는 모든 행위들이 방어 회피 카테고리에 구성되어 있다.

 

자격 증명 엑세스는 계정 이름 및 암호와 같은 자격 증명을 도용하는 기술로 구성된다. 자격 증명을 얻는 데 사용되는 기술에는 키 로깅 또는 자격 증명 덤핑또한 포함된다. 적법한 자격 증명을 사용하면 적에게 시스템에 대한 액세스 권한을 부여하고, 탐지하기 어렵게 만들고, 목표를 달성하는 데 도움이 되는 더 많은 계정을 생성할 수 있는 기회를 제공할 수 있다.

 

발견에 대해서는 음... 정찰은 공격을 하기 전 공격 대상에 대해 정보를 파악하는 것이 정찰이라면 발견은 피해자의 컴퓨터에 침입하여, 내부의 파일 디렉터리 및 내부 네트워크 정보 로컬 계정, 주변 장치 시스템 정보 검색 등 정찰은 외부에서 볼 수 있는 정보들을 구성하였다면 발견은 내부에서 볼 수 있는 정보들을 구성하여 놓은 카테고리이다.

 

둘이 헷갈릴 수 있는데 쉽게 설명하자면

 

사진 삭제

사진 설명을 입력하세요.

정찰은 도둑이 도둑질할 집에 대한 집에 멀리서(?) 얻을 수 있는 정보들을 구성해논 카테고리가 정찰이라면

 

사진 삭제

사진 설명을 입력하세요.

탐색은 집 안에 들어와 집안에 있는 금고의 종류 서랍의 종류 자물쇠는 어떤 회사의 것인지 등을 구성해논 카테고리가 탐색이다.

 

측면 이동은 공격자가 네트워크의 원격 시스템에 진입하고 제어하는 ​​데 사용하는 기술로 구성된다. 주요 목표를 달성하려면 종종 네트워크를 탐색하여 목표를 찾은 다음 액세스 권한을 얻어야 한다. 목표를 달성하려면 종종 여러 시스템과 계정을 통해 이익을 얻는다. 공격자는 측면 이동을 수행하기 위해 자체 원격 액세스 도구를 설치하거나 더 은밀할 수 있는 기본 네트워크 및 운영 체제 도구와 함께 합법적인 자격 증명을 사용할 수 있다.

 

수집은 악성코드나 공격자가 탈취할 파일을 수집하는 행위를 모아놓은 카테고리이다. 수집된 데이터를 압축하는 행위 아니면 피해자의 웹캠, 마이크를 통해 공격자가 얻고자하는 정보를 수집하는 모든 행위가 수집 카테고리에 구성되어 있다.

 

명령 및 제어가 가장... 설명하기 벅찬 카테고리일 것 같다. 내가 보고서를 쓰며, 사용했던 카테고리들은 적기가 쉽지만, 안써본 카테고리는 설명하기 조금 벅차서 복붙의 힘을 빌리기도 했다. 하지만 이 카테고리는 쉽지만 어렵다. 이 카테고리를 이용하여 보고서를 써 봤지만 어렵다. 피해자의 네트워크 및 pc에 침투하여 명령하는 것 그리고 제어하는 것...에 대한 항목이 명령 및 제어 카테고리에 저장되어 있는 만큼, 내가 이 글을 쓰는 시간이 11:30분인데 12시까지 모두 적는 것은 불가능 하다 판단되어 그냥 이 글을 읽으면서 들어가서 확인해봐라 ! 그리고 구글링을 해봐라! 친절하지 못 해서 미안하지만 이 부분에 대해서는 조금 이기적인 사람이 되어보겠다.

 

유출 카테고리는 뭐 가장 보기 쉬운 카테고리일 것이다. 어떤 방법을 이용하여 유출 시켰냐 그리고 유출 전 어떤 방식으로 사용자에게 들키지 않게 했냐 ! 대표적인 방법으로는 사용자가 유출을 식별하였어도 어떤 파일이 유출되었는지 확인하기 힘들도록 해당 파일을 복사 후 암호화한 다음 유출 시키는 방법 등이 있을 것이다.

 

영향은 공격자가 모든 공격을 끝내고 공격의 대한 증거를 지우기 위하여 하는 행위들을 구성 시켜 놓은 곳 이다.

대표적으로 안티-포렌식에 대한 정보가 많이 있을 텐데 디스크와이핑, 계정 및 엑세스 제거, 데이터 조작, 랜섬웨어를 통한 파일의 세부정보 및 내부 정보 암호화 펌웨어 손상 등이 이 카테고리에 구성되어 있다.

 

오늘은 마이티 어택 매트릭스를 알아보았다. 엄청나게 많은 정보를 이 글에 포함시키지 않았고, 대부분 엄청 큰 범주로 설명을 해 놓았기 때문에 자세한 내용은 이 글에서 확인하기 힘들 것 으로 판단된다. 다음에 시간과 기회가 있다면 ! 이 주제에 대해 다시 한 번 포스팅 하겠지만, 그게 아니라면 ! 그리고 지금 당장 이 글을 본다면 ! 구글에 더욱 많은 정보를 찾아보아서 더욱 완벽한 보고서를 작성하면 좋겠다 !