본문 바로가기
MITRE ATT&CK

MITRE ATT&CK

by jjudy 2022. 9. 6.

마이터(MITRE)

CVE를 감독하는 미국 연방정부의 지원을 받는 비영리 연구개발 단체로,

어택(ATT&CK)이라는 사이버 공격 전술 및 기술에 대한 정보를 기반으로 하는 보안 프레임워크를 제공한다.

 

공격자의 행위를 식별해줄 수 있는 프레임워크를 제공한다.

 

공격자의 목표를 나타내는 전술(Tactics)을 정찰 지점에서 유출 또는 공격의 최종 목표까지 제시되며,

목표 달성을 위한 실제 공격 기술(Techniques)을 항목별로 분류하여 제공한다.

 

ATT&CK Framework

최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 사이버공격 킬체인 보고서이다.실제 관측에 기반, 분석한 자료, 방어자가 고려할 수 있는 TTPs를 토대로 보안 프레임워크 구성한다.

 

 

TTPs 란,

Tactics(전략), Techniuqes(전술), Procedure(절차) 의 약어로 공격전략 행위를 뜻한다.

 

 

구조

▶  ATT&CK Matrix

      공격 기술인 Tactic, Technique 개념과 관계를 시각화

      Tactic에는 다양한 Technique가 포함됨

      각 Tactic는 공격 목표에 따라 다양함

 

▶  ATT&CK Tactics (전략)

      공격 목표에 따른 공격자의 행동을 나타냄

      지속성, 정보탐색, 실행, 파일 추출 등 공격자의 목적에 따라 분류됨

      상황에 따른 각 Technique에 대한 범주 역할

 

▶  ATT&CK Techniques (전술)

      공격자가 목표에 대한 Tactic을 달성하기 위한 방법을 나타냄

      Technique를 사용함으로써 발생하는 결과(피해)를 명시

      Tactic에 따라 다양한 Technique들이 존재할 수 있음

 

 

구성

▶  ATT&CK Mitigations (공격 완화 정보)

      방어자가 공격을 예방하고 탐지하기 위해 취할 수 있는 행동

      보안의 목적과 시스템 상황에 따라 중복으로 mitigation을 적용할 수 있음

 

▶  ATT&CK Groups (공격 단체)

      해킹 단체에 대한 정보와 공격 기법을 분석하여 정리한 것

      주로 사용된 공격 방법과 활동에 대한 분석을 바탕으로 그룹을 특정하여 정의함

 

 

ATT&CK For Enterprise Matrix

▶  구성 및 목적

      기업용 네트워크에 대한 14개의 Tactics 와 385개의 Techniques를 카테고리별 목록화

      Cyber kill Chain 모델 단계 중 5단계(deliver, exploit, control, execute, maintain)에 해당

 

▶  지원 OS 및 플랫폼

      Windows, macOS, Linux

      AWS, GCP, Azure, Office 365, SaaS

 

 

ATT&CK For Enterprise (2022/09/05 기준)

▶  Tactics(14개)

      - 정찰 (Reconnaissance) : 내부정찰단계, 다른 시스템으로 이동하기 위해 탐구하는 단계

      - 자원 개발 (Resource Development) : 다른 시스템으로 이동하기 위한 정보로 계정 등을 확보하는 단계

      - 최초 침투 (Initial Access) : 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함

      - 실행 (Execution) : 공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 행동

      - 지속성 유지 (Persistence) : 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동

      - 권한 상승 (Privilege Escalation) : 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동

      - 방어 회피 (Defense Evasion) : 공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위한 행동

      - 접속 자격 증명 (Credential Access) : 시스템, 도메인 서비스, 자격 증명 등을 접근하거나 제어하기 위한 행동

      - 탐색 (Discovery) : 시스템 및 내부 네트워크의 정보를 얻기 위한 행동

      - 내부 확산 (Lateral Movement) : 네트워크 상의 원격 시스템에 접근한 후 이를 제어하기 위한 행동

      - 수집 (Collection) : 공격 목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동

      - 명령 및 제어 (Command and Control) : 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동

      - 유출 (Exfiltration) : 공격자가 네트워크에서 데이터를 훔치기 위한 행동

      - 임팩트 (Impact) : 공격 목표의 가용성과 무결성을 손상시키기 위한 행동

 

▶  Techniques(191개)

▶  Sub-techniques(385개)

 

 

 

- MITRE ATT&CK 홈페이지

https://attack.mitre.org/

 

MITRE ATT&CK®

MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private se

attack.mitre.org

 

댓글

티스토리툴바