일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- UKPT
- UKPT level
- 화학물질안전원
- 웹 해킹 입문
- Service
- 불법유통근절
- 정보보안
- 화학물질불법유통온라인감시단
- 여행
- nurisec
- 경기팀
- 파이썬
- MITRE ATT&CK
- 도구모음
- webhacking
- 불법유통
- Los
- 화학물질
- PHP
- 대외활동
- 기타정보
- 12기
- 국가정보원
- 국정원
- codeup
- 연구모임
- 국가기록원
- HTML
- 프로젝트
- suninatas
- Today
- Total
목록MITRE ATT&CK (6)
agencies
adversary emulation plan - 에뮬레이션 하고자 하는 위협 그룹의 TTPs 분석 - 공격의 각 단계별로 사용할 TTPs 선택 - 각 TTPs 들을 킬체인 등을 활용하여 공격 단계별로 배치하고 조합하여 공격 플로우 구성 - 프로시저 세부 내용 설계 및 구현 - 특정 도구나 명령어에 의존하기 보다는 행위 자체에 집중 - 동일한 행위 또는 테크닉일지라도 실제 사용할 수 있는 도구나 명령어는 매우 다양함 round 1 위협 그룹 에뮬레이션 : APT3 2010년부터 서구 정부기관 및 군 관련 기관을 대상으로 기밀 정보를 훔쳐온 그룹 중국 국가안전부(ministry of state security)와 직접적인 연관을 가지는 민간 첩보 조직으로 추정 post-exploit 행위에 대한 상당량의 정..
MITRE ATT&CK 프레임워크를 활용하여 SOC 및 보안 체계, 보안 솔루션, 개인 및 조직의 사이버보안 현황과 역량 수준을 평가하고 부족한 부분을 보완하기 위한 전략, 기술, 역량 개발에 활용 위협 행위 탐지를 위한 애널리틱스를 개발하여 탐지 역량 강화에 활용 공격자의 TTP를 애뮬화하는 방법 - 공격시나리오 x 개별적인 테크닉을 애뮬 - 특정 그룹이 사용하는 TTP를 모아 공격 절차대로 재구성 후 공격 재현 부족한 부분은 무엇인지 보완할 부분의 우선순위는 무엇인지 정한다. - 사람 및 조직에 대한 보안을 교육한다 - 새로운 보안 솔루션 구매 - 보안 솔루션에 새로운 규칙 등록 이러한 활동을 통해 보안 수준을 향상시킨다. 실무에 mitre att&ck을 적용하기 위한 흐름도
MITRE ATT&CK 프레임워크의 이해 1958년에 설립된 미국의 비영리 민간 연구 기관 - 미국의 정부 기관과 협력하여 국방, 보안, 헬스케어 등의 분야에서 전문적인 연구를 수행 대표적인 프로젝트 : CVE / CWE / CAPEC / STIX / TAXII / MAEC / ATT&CK / D3FEND - CVE - 과거에는 서로 취약점마다 부르는 내용이 달랐다. (의사소통 부재) CVE 프로젝트를 통해 이름을 붙일 가치가 있는 익스플로잇에게 공식적인 이름을 만들게 되었다. - CWE - 잘 알려진 여러가지 공격 기술들을 수집하고 분류함 - CAPEC - 공격자들의 행위를 분류한 것 많은 업체들이 인텔리전스를 생성하고 있는데 서로 인텔리전스와 관련된 정보를 통일하자! - STIX - 위협 정보를 표현..
TTPs (Tactics, Techniques, Procedures) TTPs 개요 TTP는 위협 행위를 체계적으로 설명하기 위한 일종의 모델을 의미합니다. tactics (전술)은 위협 행위의 목적을 나타냄 techniques (테크닉)은 위협 행위의 목적을 달성하기 위해 사용되는 테크닉을 의미함 procedures (프로시저)는 테크닉을 구현하기 위한 구체적인 절차와 방법을 의미함 전술 테크닉/서브테크닉 프로시저 최초 접근 (공격자가 내부망에 침투해서 교두보를 확보하기 위해) 스피어 피싱 / 첨부파일을 이용한 스피어 피싱 악성고스트스크립트가 포함된 hwp 파일을 이메일에 첨부 사용자가 첨부된 hwp 파일을 오픈하면 mshta.exe가 실행되어 외부에서 세컨 스테이지 악성 스크립트를 다운로드 받아 실행..
IOC (Indicator of compromise 침해지표) 시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 보여주는 운영체제 또는 네트워크 아티팩트 IOC로 주로 사용되는 정보 : 해시값, 파일이름및경로, C2도메인, IP주소, URI, 레지스트리키, 서비스이름, 정보, 스케쥴된태스크정보 (등) 특정 위협이나 공격이 발생했는지를 판단하기 위한 시그니처로 인식되고 활용되어 왔음 최근에는 잠재적인 위협을 탐지하기 위한 보편적 이상 행위를 포함하는 개념으로 확장되고 있음 (예시) 파일에 대해 연속적으로 접근을 하면 공격으로 판단한다.. => 행위기반 탐 IOC 기반 탐지의 한계점 - reactive 하다. (발생되지 않은 공격에 대한 시그니처를 만들 수 없다) - 유효 기간이 짧다 (10년전 공격..
MITRE ATT&CK 프레임워크 이해 mitre att&ck은 2013년도에 등장 + (EDR) 2018년도 이후 관심을 받게 됨 mitre att&ck이 관심을 받게 된 이유는? - 사전에 위협을 식별하고 이를 제거하기 위해 - 제거되지 못한 위협에 대한 리스크는 접근 통제 등의 보안 매커니즘을 활용하여 제어 - 차단 및 보호 중심의 보안 기술 및 정책은 여전히 중요하지만 그것만으로는 직면한 모든 위협에 완벽하게 대응하기 어려움 > 차단과 보호에 상당한 자원을 투입하고 노력을 기울였음에도 침해사고를 경험하게 된 많은 사례들이 존재 > 차단 및 보호 매커니즘은 상당수가 reactive 한 속성을 지님 > 비즈니스 목적 상 외부와의 접점을 더 이상 제한하기가 어려움 > 차단 및 보호 매커니즘을 우회하여 ..