MITRE ATT&CK 기초 학습 (6)

 

adversary emulation plan

 

- 에뮬레이션 하고자 하는 위협 그룹의 TTPs 분석

- 공격의 각 단계별로 사용할 TTPs 선택

- 각 TTPs 들을 킬체인 등을 활용하여 공격 단계별로 배치하고 조합하여 공격 플로우 구성

- 프로시저 세부 내용 설계 및 구현

- 특정 도구나 명령어에 의존하기 보다는 행위 자체에 집중

- 동일한 행위 또는 테크닉일지라도 실제 사용할 수 있는 도구나 명령어는 매우 다양함

 

 

---

round 1

 

위협 그룹 에뮬레이션 : APT3

2010년부터 서구 정부기관 및 군 관련 기관을 대상으로 기밀 정보를 훔쳐온 그룹

중국 국가안전부(ministry of state security)와 직접적인 연관을 가지는 민간 첩보 조직으로 추정

post-exploit 행위에 대한 상당량의 정보가 존재하여 에뮬레이션 계획 수립이 용이

 

에뮬레이션 범위 : technique scope

10개 전술 136개 절차에 걸쳐 56개 att&ck 테크닉들을 테스트

 

에뮬레이션 방법 : 테스트 방법

행위에 기반한 탐지 능력의 테스트를 위해 위협 그룹이 사용한 특정 도구나 침해 지표를 에뮬레이션에 반영하기보다는 위협 그룹의 테크닉과 행위에 집중

동일한 행위를 에뮬레이션할 수 있는 여러 도구들

- 특정 공격 기법 및 행위에 대한 다양한 구현 방법 및 침해지표를 테스트

- 침해지표에 의한 탐지보다는 행위 자체를 탐지하는 능력을 식별하는데 초점을 맞춤

 

네트워크 :att&ck range

 

 

테스트 방법 : detection categories

스코어링보다는 탐지가 어떻게 이루어지는지를 설명하는데 초점을 맞춤

9개의 main 탐지 유형과 3개의 modifier 유형을 활용

모든 탐지 테스트는 관찰된 결과에 따라 하나의 main 카테고리가 부여되며 필요한 경우 하나 이상의 modifier가 부여됨

 

탐지 유형 : main detection types

 

 

참여기업 및 테스트 결과