Mitre Att&ck Framework란?

ATT&CK은 조직에 대한 APT(지능형 지속 공격)에 속한 일반적인 TTP(전술, 기법, 절차)를 문서화하기 위한 수단으로 MITRE에서 2013년에 개발했습니다. 진화하는 공격 활동과 공격자의 작업을 이해하고 방어하기 위해 노력하는 방어자와 연구자를 위한 일반적인 분류 체계 및 관계 모델을 만들기 위한 수단으로서 점점 더 많은 인기와 업계의 지원을 받고 있습니다.

ATT&CK은 다음의 4가지 기본적인 문제를 해결합니다.

IP 주소, 도메인, 레지스트리 키, 파일 해시 등과 같이 일반적인 지표는 공격자로 인해 빠르게 변경될 수 있으며 탐지 시에만 유용합니다. 이러한 지표에는 공격자가 여러 시스템과 상호작용하는 방식은 나타나지 않고 해당 시점에 하나의 시스템과의 상호작용이 일어났다는 사실만이 나타납니다. 가능한 공격자의 행동을 탐지함으로써 비교적 수명이 길고 신뢰할 수 있는 전술과 기법에 대한 조사에 집중할 수 있습니다.

공격자의 수명주기와 Cyber Kill Chain 개념은 매우 개략적이기 때문에 동작을 방어 조치와 연결 지을 수 없습니다. 이러한 수준의 추상화로는 TPP를 어떤 유형의 새로운 센서에도 매핑할 수 없습니다.

작업의 적용 가능성을 증명하기 위해서는 관찰된 인시던트와 캠페인을 토대로 TTP를 분석해야 합니다.

동일한 용어를 사용하여 여러 공격자 그룹 유형 간 TTP를 비교할 수 있어야 합니다.

IP 주소는 악의적인 공격 소스를 나타내는 지표 중 기본적인 편에 속하지만 프록시 서비스를 사용하여 IP 주소를 도입하고 자주 변경할 수 있습니다.

도메인 이름 또는 등록, 지불, 호스팅되는 하위 도메인 유형이 있을 수 있습니다. 하지만 많은 DNS 서비스 제공자가 등록 기준을 상당히 완화했습니다.

네트워크 아티팩트는 악의적인 사용자를 식별하여 정상적인 사용자와 구분할 수 있는 활동들입니다. 일반적인 네트워크 아티팩트로는 네트워크 프로토콜에 내장된 URI 패턴 또는 C2 정보가 있습니다.

호스트 아티팩트는 악의적인 활동을 식별하여 정상적인 활동으로부터 구분하는 호스트에서의 공격 활동으로 인해 발생하는 옵저버블입니다. 이러한 식별자로는 맬웨어를 통해 생성된 것으로 알려진 레지스트리 키나 값, 또는 특정 영역에 들어온 파일/디렉터리가 있습니다.

도구는 공격자가 조직에 대해 사용하는 여러 유형의 소프트웨어입니다. 기존의 코드 또는 소프트웨어와 상호작용하기 위해 소프트웨어와 함께 제공되는 일련의 도구일 수 있습니다. 도구로는 스피어 피싱용 악성 문서를 생성하는 유틸리티, C2 또는 암호 크래커를 설치하는 백도어, 침해를 일으킬 수 있는 기타 유틸리티가 포함됩니다.

전술, 기법, 절차(TTP)는 피라미드 최상단에 위치합니다. TTP는 공격자가 임무를 완수하기까지의 전체 프로세스로서 조사 개시에서 시작하여 데이터 유출로 끝날 때까지의 모든 단계가 포함됩니다.