네트워크 보안 공격과 방어 대결을 위한 ATT&CK 프레임워크의 해석

ATT&CK란 무엇인가요?

적대적 전술, 기법 및 공통 지식의 약자로 알려진 ATT&CK는 2013년 MITRE Corporation에서 처음 제안한 프레임워크로, 공격 행위를 설명하기 위한 지식 기반이자 모델입니다.

ATT&CK의 중요한 차원

ATT&CK에는 ATT&CK 프레임워크를 구성하는 몇 가지 중요한 차원이 포함되어 있습니다.

• 매트릭스: 매트릭스는 ATT&CK 프레임워크의 매크로 모델입니다.
• 전술: 전술은 공격자의 공격 대상을 나타냅니다.
• 공격 기법: 공격 기법이란 공격의 목적을 달성하기 위해 사용되는 기술을 말합니다.
• 공격 절차: 공격 절차는 공격자가 특정 공격 기법을 사용하는 실제 사례를 의미합니다.
• 완화: 완화는 조직이 다양한 공격 기법에 대응하여 사용할 수 있는 완화 조치를 의미합니다.

각 차원에 대한 주요 관계 집합은 아래와 같습니다:

 

ATT&CK란 정확히 무엇인가요?

사이버 킬체인과 달리 ATT&CK는 공격 체인의 선형 관계를 정확히 따르지는 않지만, 공격자의 공격 기법과 그에 따른 방어 수단, 모니터링 수단, 실제 사례의 틀 등을 충분히 보여주면서 최대한 선형 관계를 따르려고 노력했습니다.

ATT&CK 프레임워크는 매트릭스의 세 가지 주요 카테고리로 나뉩니다:

• 엔터프라이즈용 ATT&CK 기업용 공격 체인
• 모바일 플랫폼용 모바일 공격 체인 ATT&CK
• 산업 제어 시스템용 ATT&CK 산업 제어 시스템용 공격 체인

예를 들어 엔터프라이즈 매트릭스에는 PRE(공격 준비), Linux 등의 플랫폼에 대한 공격 체인이 포함되어 있습니다. ATT&CK는 전체 공격 단계를 14가지 전술로 나누며, 이 중 PRE에는 정찰, 리소스 개발이 포함되고 다른 플랫폼에는 다음과 같은 것이 포함됩니다. 초기 접근, 실행, 지속성, 권한 상승, 방어 회피, 발견, 측면 이동. 이동, 수집, 지휘 및 통제, 탈출, 영향.

엔터프라이즈 매트릭스 다이어그램 샘플은 아래와 같습니다:

위의 표에는 14가지 전술이 표시되어 있으며 각 전술에는 여러 가지 공격 기법이 포함되어 있습니다. 예를 들어, 초기 액세스 전술에는 드라이브 바이 손상, 공개 애플리케이션 익스플로잇, 외부 원격 서비스 등 9가지 공격 기법이 포함되어 있습니다, 하드웨어 추가, 피싱, 이동식 미디어를 통한 복제, 공급망 침해, 신뢰할 수 있는 관계, 유효한 계정 및 기타 공격. 신뢰할 수 있는 관계, 유효한 계정, 아래 그림과 같이:

 

ATT&CK 애플리케이션 시나리오

공격 모델링 프레임워크로서 ATT&CK는 어떻게 도움이 될 수 있나요? ATT&CK를 사용할 수 있는 시나리오에는 어떤 것이 있나요?

공식 애플리케이션 시나리오 가이드

공식 ATT&CK 웹사이트에는 네 가지 범주의 일반적인 사용 시나리오가 설명되어 있습니다:

 

• 탐지 및 분석

ATT&CK는 네트워크 방어자가 공격자가 사용하는 기술을 적시에 식별하는 탐지 절차를 개발하는 데 도움을 줄 수 있습니다.

• 위협 인텔리전스

ATT&CK는 보안 분석가에게 위협 인텔리전스를 정리, 비교 및 분석할 수 있는 공통 언어를 제공하며, ATT&CK의 그룹은 위협 조직의 공격 특성을 더 잘 파악할 수 있게 해줍니다.

• 적 에뮬레이션 및 레드팀(적 시뮬레이션 및레드와 블루의 대결)

ATT&CK는 블루팀(해외에서는 종종 스트라이크팀 대신 레드팀으로 불림)이 공격 계획을 개발하고 위협별 공격을 시뮬레이션하는 데 사용할 수 있는 공통 언어와 프레임워크를 제공합니다.

• 평가 및 엔지니어링

ATT&CK는 조직의 방어 체계를 평가하고 어떤 도구나 로그를 구현해야 하는지 등 방어 아키텍처를 추진하는 데 사용할 수 있습니다.

ATT&CK는 위에서 언급한 네 가지 유형의 적용 시나리오에 대한 많은 참조 지식을 제공하며, 각 유형의 적용 시나리오는 세 가지 수준의 보안 기능으로 개별적으로 더 정교화됩니다. 적대적 에뮬레이션과 적색 팀을 예로 들어 적색과 청색 대결에서 ATT&CK의 주요 적용 사례를 소개합니다.

ATT&CK 시작하기: 적 에뮬레이션 및 레드팀에는 조직의 보안 역량에 따라 3가지 레벨이 있습니다:

레벨 1: 이제 막 시작하여 리소스가 많지 않은 보안 팀입니다.

레벨 2: 비교적 성숙한 중간 수준의 보안 팀

레벨 3: 고급 보안 팀과 리소스를 보유한 조직

레벨 1 조직의 경우.위협을 식별하는 데 블루팀의 도움이 없어도 몇 가지 간단한 테스트를 사용하여 공격을 시뮬레이션할 수 있습니다. 저자는 ATT&CK에 매핑된 관련 방어 구성 요소를 테스트하기 위해 간단한 "원자 테스트"를 수행하는 Atomic Red Team을 권장합니다. 예를 들어, 네트워크 예를 들어, 네트워크 공유 검색(T1135)은 T1135로 테스트할 수 있습니다:

위 그림과 같이 해당 플랫폼에서 해당 테스트 명령을 실행하여 방어 시스템이 알람 프롬프트에 반응하는지, 특정 방어 최적화를 수행할 수 있는지 여부를 감지할 수 있습니다. 그런 다음 아래 사이클에 표시된 대로 계속 확장하고 개선합니다:

레벨 2 조직의 경우.예를 들어, 침투 툴인 Cobalt Strike를 사용하여 공격을 시뮬레이션하며, 궁극적으로 아래 그림과 같이 ATT&CK 프레임워크에 매핑된 다양한 유형의 공격 기법으로 대응할 수 있습니다:

레벨 3 조직의 경우강력한 블루 아미 또는 자체 위협 인텔리전스 기관인 레드 아미가 이미 구축되어 있는 경우, 블루 아미는 위협 인텔리전스를 사용하여 '완전한 테스트'를 목적으로 공격을 시뮬레이션할 특정 타깃을 가진 위협 조직을 선택할 수 있습니다.

 

• 위협 인텔리전스 수집: 위협 인텔리전스 수집 및 특정 상대 선택
• 추출 기법: 위협 조직과 블루포스 공격 기법을 ATT&CK에 매핑하기
• 분석 및 정리: 조직의 공격 계획을 분석하세요.

예를 들어, APT3 위협 조직에 대한 모의 공격 계획 개발이 있습니다:

• 도구 및 절차 개발: 공격 도구 및 절차 개발
• 적을 모방: 블루 포스는 계획에 따라 모의 공격을 실행하기 시작합니다.

좋은 적용 시나리오의 예

공식적으로 권장되는 몇 가지 적용 시나리오 외에도 업계에는 몇 가지 우수한 ATT&CK 사례가 있습니다.

ATT&CK를 교사로 활용하기

MITRE ATT&CKcon의 트래비스 스미스는 아래 그림과 같이 익스플로잇의 난이도에 따라 ATT&CK 매트릭스를 구성하고 이를 식별하기 위해 다양한 색상을 사용했는데, 저자는 이를 "ATT&CK 레인보우 테이블"이라고 불렀습니다:

 

 

• 파란색: 이 기술은 실제로 익스플로잇은 아니지만 넷 뷰와 같은 다른 일반적인 기능을 사용하여 달성됩니다.
• 녹색: POC, 스크립트 또는 유효한 계정 자격 증명과 같은 기타 도구가 필요하지 않은 기술을 쉽게 활용할 수 있습니다.
• 노란색: 일반적으로 일종의 도구 또는 POC(예: 메타스플로잇)가 필요합니다.
• 주황색: 완료하거나 조사하려면 다양한 수준의 인프라가 필요하며, 이러한 기술은 매우 간단한 것부터 매우 복잡한 것까지 다양하며, 저자들은 웹쉘과 같은 '주황색 수준'으로 분류했습니다.
• 빨간색: 프로세스 인젝션과 같이 OS 또는 DLL/EXE/ELF 등에 대한 심층적인 이해가 필요한 고급 또는 기본 기술을 의미합니다.
• 보라색: 작성자는 나중에 더 높은 수준의 기술을 업데이트했으며, ATT&CK 레인보우 테이블과 결합하여 더 높은 공격 임계값이 필요하거나 성공률이 낮은 공격 기술을 사용하는 것으로 알고 있습니다.

이 시점에서 ATT&CK 매트릭스를 포함한 ATT&CK 레인보우 테이블은 개인 또는 팀을 위한 학습 가이드(예: 측면 침투를 연구할 때 어떤 관점부터 시작해야 하는가?) 로 사용할 수 있습니다. 탐지 및 완화 조치는 무엇인가요? 우회할 수 있는가? ATT&CK는 매우 좋은 참고 자료가 될 것입니다.

특정 시스템 프레임워크에 대한 세분화된 해석

ATT&CK는 네트워크의 전반적인 위험에 대해 더 나은 통합 분석을 제공하지만 일부 특정 시스템 및 플랫폼에 대한 분석은 약간 덜 세분화됩니다. 알리클라우드 보안은 아래 그림과 같이 클라우드의 특정 컨테이너 프레임워크에 대해 ATT&CK를 기반으로 더 세분화된 공격 토폴로지를 수행했습니다:

ATT&CK의 공통 언어로 엄격하게 전개되지는 않지만, 각 전술에서 사용되는 기술을 보다 세분화하여 시연하면 블루가 공격을 실행하는 데 더 쉽게 안내할 수 있습니다. 공통 언어 사용에 관한 한, 기업 내 또는 국가 내에서도 레드와 블루에 대한 공통의 이해에 도달하는 것은 어렵지 않습니다.

따라서 클라우드 컨테이너, 프라이빗 클라우드, 퍼블릭 클라우드, 빅데이터 플랫폼 등과 같은 특정 시스템 프레임워크의 경우 이 접근 방식을 참조하여 ATT&CK의 기본 매핑을 완료할 수도 있습니다.

요약

우수한 공격 모델 프레임워크인 ATT&CK는 비교적 완벽한 공격 매트릭스를 제공하며, 이는 공격과 방어 모두에 좋은 가이드가 됩니다. ATT&CK의 기술 컬렉션을 지속적으로 개선하여 적색 및 청색 대치 능력을 향상시키고 현지 상황에 따라 기업 내 다양한 시나리오와 프레임워크에 ATT&CK를 매핑할 수도 있습니다.

 

참고링크

https://attack.mitre.org/

https://mitre-attack.github.io/attack-navigator/

https://medium.com/mitre-attack/getting-started-with-attack-red-29f074ccf7e3

https://github.com/redcanaryco/atomic-red-team

https://github.com/TravisFSmith/mitre_attack

https://zhishihezi.net/

https://www.tripwire.com/state-of-security/mitre-framework/using-attck-교사/

https://www.freebuf.com/articles/blockchain-articles/251496.html

https://www.freebuf.com/articles/network/254613.html

https://www.freebuf.com/articles/container/240139.html

http://vulhub.org.cn/attack

출처: OPPO