1. Cyber Kill Chain
- 기존 군사용어 킬체인 (Kill Chain, 타격순환체계)을 사이버 공간으로 가져와 적용한 것
※ 킬체인 (Kill Chain) : 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 것
- 미국 군수업체인 록히드마틴에서 최초로 사용
- APT에 대응하기 위해 제시한 방법으로, 공격자가 표적을 공격할 때 거쳐야 하는 과정을 단계로 분류
| 단계 | 설명 |
| 1단계 정찰(Reconnaissance) |
- 이메일, 컨퍼런스 등을 통해 기본적인 정보를 수집 |
| 2단계 무기화(Weaponization) |
- Exploit과 백도어를 결합해 payload에 삽입 |
| 3단계 유포(Delivery) |
- Email, 웹, 외장하드 등을 경유하여 유포 |
| 4단계 악용(Exploitation) |
- 공격 대상에서 코드를 실행하기 위해 취약점을 이용 |
| 5단계 설치(Installation) |
- 피해 시스템에 악성 프로그램 설치 |
| 6단계 명령&제어(Command & Control) |
- 피해 시스템을 원격에서 조작하기 위한 채널 생성 |
| 7단계 행동(Actions on Objectives) |
- 시스템파괴 등 공격을 수행 |
1.1 한계
- 각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 묘사 및 나열
- 단계별로 사용되는 기술, 공격 도구, 해킹그룹 등에 대한 정보와의 연결고리가 없다는 한계
> 공격자의 행동이 전술적 공격 목표와 각 행동의 연관성을 표현하고 전달하기에는 효과적이지 않다는 것
- 외부 침입자 대한 방어를 위주로 한 전략
> 공격자가 이미 침투했거나 내부자에 의한 공격 등 내부 보안에 대한 전략은 전무
2. MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)
- 공격자들의 최신 공격 기술 정보가 담긴 저장소
- 실제 공격의 악의적 행위(Adversary behaviors)에 대해서 공격방법(Tactics)과 기술(Techniques)의 관점으로 분석
- 네비게이터(Navigator) 기능을 이용해 다양한 방식으로 시각화 하여 비교가 가능 (https://mitre-attack.github.io/attack-navigator/)
| 탭 | 설명 |
| Matrices (표 정보) | - 공격 기술인 Tactic, Technique 개념과 관계를 시각화 - Enterprise(기업), Mobile(모바일), ICS(산업제어시스템) 버전으로 제공 ① Enterprise - 범용적인 기업환경에 적용되는 네트워크 및 다양한 OS 및 플랫폼에대한 침해 행위를 세부적으로 모델링하기 위해 만들어진 프레임워크 ② Mobile - 모바일 환경에 대한 침해 행위를 세부적으로 모델링하기 위해 만들어진 프레임워크 ③ ICS - 관련 네트워크와 산업 생산 영역에서 설비의 운영을 제어·관리하는 시스템을 대상으로 한 공격 유형과 과정 등의 정보를 포함 |
| Tactics (공격 전술 정보) | - Tactics 는 공격자의 공격 목표에 따른 행동을 나타냄 <Enterprise Tactics> ① 정찰 (Reconnaissance) - TA0043 - 내부정찰단계로 다른 시스템으로 이동하기 위해 탐구하는 단계 ② 자원 개발 (Resource Development) - TA0042 - 다른 시스템으로 이동하기 위한 정보로 계정 등을 확보하는 단계 ③ 초기 접근 단계 (Initial Access) - TA0001 - 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함 ④ 실행 (Execution) - TA0002 - 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 행동 ⑤ 지속 (Persistence) - TA0003 - 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동 ⑥ 권한 상승(Privilege Escalation) - TA0004 - 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동 ⑦ 방어 회피(Defense Evasion) - TA0005 - 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위한 행동 ⑧ 접속 자격 증명(Credential Access) - TA0006 - 시스템, 도메인 서비스, 자격증명 등을 접근하거나 제어하기 위한 행동 ⑨ 탐색 (Discovery) - TA0007 - 시스템 및 내부 네트워크의 정보를 얻기 위한 행동 ⑩ 내부 확산(Lateral Movement) - TA0008 - 네트워크 상의 원격 시스템에 접근한 후 이를 제어하기 위한 행동 ⑪ 수집 (Collection) - TA0009 - 공격 목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동 ⑫ 명령 및 제어 (Command And Control) - TA0011 - 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동 ⑬ 유출 (Exfiltration) - TA0010 - 공격자가 네트워크에서 데이터를 훔치기 위한 행동 ⑭ 임팩트 (Impact) - TA0040 - 공격 목표의 가용성과 무결성을 손상시키기 위한 행동 |
| Techniques (공격 기술 정보) | - 공격자가 목표에 대한 Tactic 을 달성하기 위한 방법을 나타냄 - 공격자의 공격(Technique)을 통해 발생하는 결과(피해)를 명시 |
| Mitigations (공격 완화 정보) | - 관리자가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동 |
| Groups (공격 단체/조직 정보) | - 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리 |
| Software (공격 도구 정보) | - 공격에 사용되는 다양한 도구의 모음을 총칭하여 정리한 것 |
3. 참고
- https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
- https://attack.mitre.org/
- https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/
'기타 > 기타' 카테고리의 다른 글
| CVE, CWE, CVSS (0) | 2022.12.27 |
|---|