1.MITRE-ATT&CK이란?
Adversarial Tactics Techniques & Common Knowledge
실제 관측에 기반한 세계적으로 접근 가능한 적국 전술 및 기법의 지식 기반으로 민간, 정부, 사이버 보안 제품 및 서비스 공동체의 특정 위협 모델 및 방법론 개발을 위한 기반으로 활용되고 있다고 공식 홈페이지에 명시되고 있다.
어렵게 명시되어 있으나, 실제 발생된 침해사고에 대해 분석한 결과를, 전략(Tactics), 기술(Techniques), 공격 기법 및 공격 절차(Procedures)에 따라 구분하여 식별할 수 있는 모델 및 방법론이라고 생각하면 된다. 다만, 탐지/차단의 보안적인 관점에서 중요도나 공격 빈도에 대한 점수 등은 반영하지 않는다.
※참조 : https://attack.mitre.org/ (MITRE ATT&CK 공식 홈페이지)
MITRE-ATT&CK은 2013년도에 등장하였으나, 많은 관심을 받지 못하였다. 하지만 EDR의 등장과 함께, 사이버 보안이 차단 및 보호 중심 전략에서 'EDR', '제로 트러스트' 등의 탐지 중심의 사전에 위험을 식별하고 제거하는 동향을 보이면서, 실제 공격 사례를 분석하여 여러 탐지 방식과 절차를 구분하여 명시한 MITRE-ATT&CK이 대두되었다.
2.탐지 전략의 변화
위협 인텔리전스에 대한 효과적인 활용 방법 중 하나로, 사이보안 전문가 '데이비드 비앙코'가 제시한 '고통의 피라미드'가 있다. '고통의 피라미드'에서 가장 상위에 위치한 TTP(TTPs : Tactics, Techniques, Procedures)가 공격 탐지 및 방어에 가장 효과적이라고 설명하고 있다.
이는 TTP(TTPs)에서, 공격자가 공격을 성공하기 위해 수행하는 정보 수집, 취약점 조사, 취약점 분석, 공격 코드 개발 등의 모든 공격 과정(프로세스)에 대한 단계를 분석하기 때문이다. 즉, 이전의 IOC를 활용한 탐지 방식에서 공격자의 모든 수행 과정을 기반한 '행위'로 탐지하는 형식으로 공격 탐지 방식이 변화하고 있다.
3.IOC를 활용한 탐지 방식
IOC (Indicator Of Compromise), 또는 '침해지표'라고 불리기도 하며, 공격자에 의해 시스템이 침해되었을 가능성을 보여주는 운영체제 또는 네트워크 아티팩트를 의미한다. IOC에서 시스템이 침해되었을 가능성을 확인하는 방식은, 공격코드 해시값 확인, 파일 이름 및 경로, C&C 도메인, IP 주소, 레지스트리 키 등을 활용한다.
이는 탐지 방식이, 일종의 시그니처와 같은 패턴을 기반으로 탐지함으로, 다양한 방식으로 개선된 공격 또는 알려지지 않은 패턴을 이용한 공격으로 상대적(TTPs 기반)으로 우회하기 용이하다. 또한, 모든 공격 패턴을 정책 Role을 반영하기에는 탐지 속도, Role 관리의 어려움에 대한 문제점이 발생할 수 있다.
| 구분 | 설명 | |
| 장점 | 알려진 공격에 대한 탐지 | |
| 단점 | IOC 수가 증가할 수록 탐지를 위한 검색 시간 증가 | |
| 상대적으로 탐지 우회 용이 (시그니처 기반) | ||
| 공격자가 시그니처를 변경함으로 탐지 Role의 유효 기간이 짧음 | ||
4.행위(TTP) 기반 탐지 방식
행위(TTP) 기반 탐지 방식은, 공격자가 시스템을 침해하여 정보 유출 단계까지 모든 과정을 분석하고 일어난 '행위'를 기반으로 탐지하는 방식이다. 이는 일종의 시그니처를 탐지하는 것이 아닌, '메모장 열기'와 'CMD 창 열기' 등의 정상적인 행위를 포함하여, 악성 코드가 포함된 특정 파일(pdf)을 여는 단계까지 포함하여 공격을 탐지한다.
예를 들었을 때, 악성 코드가 포함된 PDF 파일을 열람함으로써 발생되는 취약점이 있다면, "PDF 다운로드 > PDF 열람 > PDF 악성코드에 의해 운영체제 명령 실행"이라는 과정이 수행될 시, 공격을 탐지하게 된다.
| 구분 | 설명 | |
| 장점 | 신규 공격 또는 변형된 공격에 대해, 발생하는 '행위'로 탐지 가능 | |
| 단점 | '메모장 열기' 등의 정상적으로 보일 수 있는 '행위'가 탐지 될 수 있음 | |
5.IOC 기반 탐지 vs 행위(TTP) 기반 탐지
IOC 기반 탐지 방식에서는 공격에 사용되는 도구, 코드 등의 해시값, 버전 등을 이용하여 탐지한다. 이 경우, 도구 버전이 업데이트되거나 공격 코드의 수정으로 인하여 해시값이 변경되는 경우 탐지하지 못하게 된다.
반면에, 행위(TTP) 기반 탐지 방식에선 프로세스 활성화, 자원 접근 등의 공격 수행 과정에서 발생하는 '행위'들을 기반으로 탐지하게 됨으로써 어떤 도구를 사용하던, 동일한 수행 과정을 거칠 시 탐지가 되낟. 이렇듯, 동일한 공격에 대해서, IOC 기반 탐지와 행위(TTP) 기반 탐지는 다른 관점에서 공격을 탐지한다.
※Log4shell 공격에 대한 IOC 기반 탐지 Role과 행위(TTP) 기반 탐지 Role의 예시이다.
| 공격 | IOC 기반 탐지 Role 예시 | 행위(TTP) 기반 탐지 Role 예시 |
| Log4Shell : JNDI 취약점을 이용하여, 원격 코드 실행 - log4라이브러리 취약점 - 자바 런타임 취약점 |
HTTP 헤더 내 User-Agent 문자열 이용 - ${jndi:ldap:// |
JNDI 호출 탐지 외부 서버와의 연결 시도 외부 서버로부터 데이터 로드 자바 런타임으로 외부 데이터 로드 |
위의 표를 기반으로 IOC 탐지 방식을 우회하는 방식은 문자열 인코딩, ldap 서버 외의 호출 등으로 지속적으로 발생하였으, 이에 따른 지속적인 패치가 반영되었다. 즉, 공격자는 패턴으로 정해진 문자열만 우회하는 간단한 방식을 통해 보안 장비를 우회하여 공격을 시도 할 수 있다.
하지만, JNDI를 비인가된 사용자가 호출하는 부분을 탐지하여 차단한다면, JNDI 취약점을 이용한 Log4Shell의 공격은 시작 단계에서 막히게 되며, 공격자는 악성 코드를 주입할 수 있는 신규의 취약점을 탐색하게 된다. 또한, 자바 런타임 취약점이 있는 Java 버전이 아닌, 업데이트된 Java 버전을 이용하는 경우에도 새로운 Java 버전의 취약점을 탐색해야 한다.
즉, 결론적으로 행위(TTP) 기반으로 탐지하여 차단하는 방식은, 탐지 기술을 우회하여 공격에 성공하기까지 IOC 기반 탐지보다 상대적으로 많은 노력과 기술력이 필요하며, 공격을 최대한 지연 시킴으로써 효과적인 방어 기법이 될 수 있다.
6.여담
MITRE는 1598년에 설립된 미국의 비영리 민간 연구 기관으로, 믹국 정부 기관과 협력하여 국방, 보안 등의 분야에서 전문적인 연구를 진행하였다. 특히 잘 알려진 CVE, CWE, CAPEC 연구 및 기준을 수립하였으며, MITRE ATT&CK에서 이용되는 인텔리전스 위협 정보의 표현 및 정의하는 방식에 대한 기준(STIX)와, 인텔리전스 위협 정보의 교환을 위한 규칙(TAXII)를 연구하고 있는 중 이다.
만약, MITRE ATT&CK 프레임워크 좀 더 활용하기 위해서는 STIX와 TAXII에 대한 학습이 필요할 수 있겠다... ...
사이버 보안에 관심이 있던 이들이라면, '사이버 킬 체인'이 떠오를 수 있다. 다만, '사이버 킬 체인'과 'MITRE ATT&CK'의 큰 차이점은, 공격 수행에 필요한 절차보다는 공격자들의 TTPs에 관심이 많다는 것이다.
각 TTPs에 대한 탐지 및 대응 현황을 있는 그대로(AS-IS) 분석하고, To-Be 을 수립하는데 활용되는데 목적이 있는 것이 'MITRE ATT&CK'이라고 생각하면 된다.
'연구 > MITRE ATT&CK' 카테고리의 다른 글
| MITRE-ATT&CK 프레임워크 2 (TTPs란?) (0) | 2023.09.22 |
|---|
