MITRE ATT&CK 기초 학습 (3)

TTPs (Tactics, Techniques, Procedures)

TTPs 개요

TTP는 위협 행위를 체계적으로 설명하기 위한 일종의 모델을 의미합니다.

tactics (전술)은 위협 행위의 목적을 나타냄

techniques (테크닉)은 위협 행위의 목적을 달성하기 위해 사용되는 테크닉을 의미함

procedures (프로시저)는 테크닉을 구현하기 위한 구체적인 절차와 방법을 의미함

 

전술	테크닉/서브테크닉	프로시저
최초 접근 (공격자가 내부망에 침투해서 교두보를 확보하기 위해)	스피어 피싱 / 첨부파일을 이용한 스피어 피싱	악성고스트스크립트가 포함된 hwp 파일을 이메일에 첨부 사용자가 첨부된 hwp 파일을 오픈하면 mshta.exe가 실행되어 외부에서 세컨 스테이지 악성 스크립트를 다운로드 받아 실행 악성스크립트가 실행되면 http를 이용하여 비콘(beacon) 악성코드를 다운로드 하여 실행

위와 같은 내용을 자세하게 기술한 것이 TTPs이다.

 

---

* 배경

과거에는 차단 중심의 보안을 이용했지만, (여전히 중요하지만) 차단 중심의 방어로는 대응할 수 없기에

탐지 관련 기술을 발전시켰다.

 

시그니처 기반 탐지에서 IOC기반 탐지로 발전 되었으며

행위기반 탐지(TTPs)가 많이 연구되었다. (대표적인 솔루션이 EDR)

 

공격자의 TTP를 우리는 모른다 구체적으로 사용되는 기술들과 목적이 쉽게 떠오르지 않는다.

mitre att&ck 에서는 해당 내용이 잘 적혀 있었다. (2018부터 급격하게 관심을 받게 됨)