1.TTP(TTPs)란?
TTP는 위협 '행위'를 Tactics, Techniques, Procedures를 기준으로, 체계적으로 분석하기 위한 방법론이다.
TTPs에는 OSINT를 통해 발생되어 분석된 침해사고에 대한 모든 경우를 우선 순위 및 점수를 기준으로 구분하지 않고 기록되어 엄청난 수의 TTP가 있기에, 필요한 TTP와 불필요한 TTP를 분류하는 경우가 발생한다.
| 구분 | 설명 |
| Tactics (전술) | 위협 행위의 목적 목적은 정보 유출의 최종 목적이 아닌, 사용자 계정 획득, 스피어 피싱 등의 단계별 목적을 의미 |
| Techniques (기술) | 위협 행위의 목적을 달성하기 위해 사용되는 Techniques (기술) Techniques (기술) 대분류를 기준으로, Sub Techniques 하위 분류로 구분 |
| Procedures (공격 기법) | Techniques (기술) 구현을 위한 구체적인 절차와 방법을 의미 목적을 달성하기 위한, 과정 별 필요한 절차와 방법(도구)를 설명 |
2.MITRE ATT&CK Matrix
MITRE ATT&CK Matrix는 Tactics(전술)을 기준으로, Techniques(기술)/Sub Techniques(하위 기술)를 분류해놓은 표이며, 칼럼은 Tatics(전술)를, 각 행은 Tatics(전술)에서 적용하는 Techniques(기술) 정보를 담고 있다.
※참조 : MITRE ATT&CK Matrix는 2023년 09월 21일 기준으로, 3개의 대분류로 Matrix를 구분하고 있다.
| 대분류 | 중분류 |
| Enterprise | Windwos, macOS, Linux, Cloud(Office 365, Azure AD, Google workspace, SaaS, IaaS), Network, Containers |
| Mobile | Android, iOS |
| ICS | Industrial Control System (산업 제어시스템) |
3.Tactics (전술)
1) Enterprise Matrix : 각 구분이 절차가 아니며 목적임을 명시해야 한다. 또한, 언제든지 업데이트된다.
| 구분 | 설명 |
| Reconnaissance (정찰) |
공격을 계획하는데 사용할 수 있는 네트워크 스캔 등의 정보 수집 |
| Resource Development (리소스 개발) |
공격에 사용할 인프라와 서비스, 악성코드 등 필요한 기능을 개발/구매/탈취 |
| Initial Access (초기 접근) |
피싱 이메일로 계정 획득, 계정 구매 등으로 네트워크에 침입하여 초기 거점을 확보 |
| Execution (실행) |
행위 수행을 위한 코드를 실행 다양하고 광범위한 목표를 달성하기 위해 , 다른 Tatics(전술)의 Techniques(기술)과 연계 |
| Persistence (영속성) |
시스템 재시작, 크리덴셜 변경 등에도 시스템 또는 네트워크의 접근이 지속될 수 있는 확보한 거점 유지 |
| Privilege Escalation (권한 상승) |
공격 중 시스템 또는 네트워크에서, 접근한 권한보다 높은 수준의 권한 획득 |
| Defense Evasion (방어 우회) |
공격 중 탐지 및 차단 등 방어 체계 우회 |
| Credential Access (자격증명 접근) |
자격 증명을 위한 인증 정보 획득 또는 탈취 인증 정보 : 계정 이름, 패스워드, 인증 토큰 등) |
| Discovery () |
타겟 네트워크 침투 후 행동 방법과 공격 전략을 수립하기 전 시스템 및 네트워크 환경 정보 수집 |
| Lateral Movement () |
최종 목표 시스템으로의 접근을 위해 타겟 네트워크 내부와 다른 시스템들에 침투하는 권한 확장 |
| Collection (정보 수집) |
공격을 통해 탈취하고자 하는, 중요정보, 민감정보, 소스코드 등의 데이터 수집 |
| Command and Control (C&C, C2) |
침투에 성공한 시스템과 통신하고 제어 |
| Exfilitration (유출) |
데이터를 타겟 네트워크 외부로 반출 |
| Impact () |
시스템 또는 데이터를 조작, 방해, 파괴 |
4.Techniques (기술)
MITRE ATT&CK Matrix에서 Techniques 선택 시, 공격 기술을 대분류/중분류(Techniques/Sub Techniques)로 구분하여 기술 설명과 기본 정보, 각 Sub Techniques(하위 기술)의 Procedures(공격 절차), Mitigations(완화), Detection(탐지) 예시를 포함하여 표시해준다.
'연구 > MITRE ATT&CK' 카테고리의 다른 글
| MITRE-ATT&CK 프레임워크 1 (TTP 이해의 필요성) (0) | 2023.09.21 |
|---|
