MITRE ATT&CK 기초 학습 (2)

IOC (Indicator of compromise 침해지표)

시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트

IOC로 주로 사용되는 정보 : 해시값, 파일이름및경로, C2도메인, IP주소, URI, 레지스트리키, 서비스이름, 정보, 스케쥴된태스크정보 (등)

특정 위협이나 공격이 발생했는지를 판단하기 위한 시그니처로 인식되고 활용되어 왔음

최근에는 잠재적인 위협을 탐지하기 위한 보편적 이상 행위를 포함하는 개념으로 확장되고 있음

 

(예시) 파일에 대해 연속적으로 접근을 하면 공격으로 판단한다.. => 행위기반 탐

 

IOC 기반 탐지의 한계점

- reactive 하다. (발생되지 않은 공격에 대한 시그니처를 만들 수 없다)

- 유효 기간이 짧다 (10년전 공격을 한 그룹이 똑같은 방법으로 공격을 한다 : 사실상 기대하기 어려움)

- 시간이 지날 수록 IOC 수가 과도하게 많아져 관리가 어렵고 탐지에도 많은 시간이 소요됨

- IOC 기반 탐지는 상대적으로 우회하기가 용이함 (행위 기반 탐지와 비교했을 때 우회하기 용이함)

- false sense of security (실제로 안전함을 보장할 수 없음에도 잘못된 판단으로 안전하다고 하는 것)

 

---

 

공격행위	IOC 기반 탐지(예)	TTP 기반 탐지(예)
LSASS 프로세스의 메모리 영역에 접근하여 사용자들의 크레덴셜 정보를 획득 (미미카츠 도구를 이용)	사용한 도구(mimikatz)의 해시값을 이용하여 탐지 (미미카츠가 생성하는 특정 확장자 등을 확인)	LSASS의 메모리 영역에 접근하는 프로세스 모니터링 LSASS를 대상으로 하는 프로세스 인젝션 모니터링 LSASS에 로드된 DLL 중 서명되지 않은 것이 있는지 확인

 

해커가 TTP탐지를 회피하기 위해서는 LSASS의 메모리에 접근하지 않고 크레덴셜의 정보를 찾아야 하는 방법을 고안해야 함 또는 위 3가지 방법을 우회하여 접근을 찾아야 함

공격행위	IOC 기반 탐지(예)	TTP 기반 탐지(예)
내부 시스템에 감염된 악성코드와 C&C간 커뮤니케이션 (HTTP활용)	C&C의 IP 어드레스 URL user-agent 문자열을 이용하여 탐지	주기성을 가진 아웃바운드 커넥션 최근에 등록한 도메인에 속한 시스템과의 통신 랜덤하게 생성된 도메인에 속한 시스템과의 통신