TTPs 와 ATT&ck - 3

TTPs란?

공격전략 행위

전술(Tactics), 기술(Techniques), 절차(Procedures)의 약어로 정수 값이나 스트링 값으로 표현할 수 없는 위협원들의 행위 자체

정보보호 컨설팅 방법론 내 고객사의 위험을 도출하여 분석 및 평가하는 과정에 TTPs를 접목하여, 보다 현실적인 위험 대응방안 수립이 가능하다.

고통의 피라미드

David Bianco는 고통의 피라미드(Pyramid of Pain)라고 불리는 분석 모델을 발표했습니다. 이 모델은 침입의 다양한 부분을 발견하는 것이 캠페인에 어떤 영향을 미칠 수 있는지 이해하기 위한 것입니다. 아래 모델에서 볼 수 있듯이, 해시 값을 식별하는 것은 유용하지만 공격자에 의해 쉽게 변경되는 반면, TTP를 식별하는 것은 공격자가 변경하기 매우 어렵습니다.

고통의 피라미드를 사용하는 목적은 침입에 대해 최대한 이해하고 여러분에게 미치는 영향(즉, “고통”의 양)을 예상하는 것입니다. 관측된 샘플들의 분석 내내, 우리는 잠재적인 영향을 평가하기 위한 예시적인 방법으로 이 샘플들을 고통의 피라미드에 오버레이 할 것입니다

 

TTP 용어는 보안 전문가들이 위협 행위자들의 공격을 행동, 프로세스, 전략 등을 분석 및 설명하는데 사용하며, 대응책 개발에 활용한다.

 

해킹 사고가 지속적으로 발생함에 따라 보안 요구사항은 더 까다로워지고 있으며 보안솔루션의 기능도 높은 수준으로 발달하고 있다. 그렇지만 해킹 사고는 여전히 계속해서 발생한다.

MITRE ATT&CK

미국의 비영리 연구 개발 단체

최신 공격 방법과 대응 방식, 관련 솔루션을 총망라한 사이버 공격 킬체인 보고서

 

ATT&CK Matrix

공격 기술인 Tactic, Technique 개념과 관계를 시각화

 

ATT&CK Tactics

공격 목표에 따른 공격자의 행동을 나타냄

 

ATT&CK Techniques

공격자가 목표에 대한 Tactic을 달성하기 위한 방법을 나타냄

 

ATT&CK Mitigations

관리자가 공격을 예방하고 탐지하기 위해서 취할 수 있는 행동을 말함

 

ATT&CK Gruops

보안 커뮤니티에서 단체/그룹에 대해 공개적으로 명칭이 부여된 해킹단체에 대한 정보와 공격 기법을 분석하여 정리한 것

 

KISA TTPs 보고서

KISA에서는 침해사고 대응 과정을 통해 공격자의 TTPs를 파악하고, 그 과정 및 대응방안을 ATT&CK Framework 기반으로 작성하여 배포

해당 보고서들을 통해 TTPs 대한 이해을 도와준다.

 

 

 

이 글은 K-Shleid 주니어 8기의 모의해킹 심화과정의 내용이며 공부한 내용을 바탕으로 쓰는 글이다.

모든 저작권은 K-Shleid 주니어에 있다.

http://www.kshieldjr.org/

 

참고

https://www.krcert.or.kr/main.do

KISA 인터넷 보호나라&KrCERT

https://www.elastic.co/kr/blog/going-coast-to-coast-climbing-the-pyramid-with-the-deimos-implant

고통의 피라미드 모델을 통해 살펴본 Deimos implant 차단

https://attack.mitre.org/

MITRE ATT&CK®