[Spear-Phishing] MITRE ATT&CK Matrix

1. Mitre의 ATT&CK Matrix 

• 해커 그룹들이 무슨 도구를 쓰는지
• 해커 그룹들이 공격할 때 어떤 전략을 쓰는지
• 구체적 연구를 통해 시뮬레이션 하는 프로젝트

---

2. Tactic과 Techniques

Knowledge Base

 

지식기반을 활용하는 대표적인 사례가 BAS (Breach Attack Simulation) 이다.

 

BAS란?
조직의 침해사고에 대한 대응 역량을 분석하기 위한 보안 솔루션 카테고리의 하나
Safe Breach 등 다양한 솔루션이 있다.

예) 방화벽 WAF

 

Mitre Att&ck의 여러 Tactic은 다음과 같으며 각 Tactic마다 Technique들이 있다.

 

https://attack.mitre.org/

 

---

3. Procedure

 

Tactics 중 Initial Access의 Phishing 탭에 Spear-Phishing이 있다.

 

Initial Access는 표적 시스템에 접근하는 방법에 대해 설명하는 탭이다.

(Tactic들은 순서대로 있는 것이 아니다. 목적에 따른 How를 알려주는 것)

 

그렇다면 이 Tactics에 따른 실제 사용 코드나 도구가 있을 것이다.

 

소프트웨어를 공격하기 위한 목적을 이루는, 이러한 개념을 Procedure라고 한다.

 

Procedure

실제 자바스크립트를 통해 악성 문서를 만드는 것 등
실제 사용 코드나 도구의 개념

 

이렇게

Tactic-Technique-Procedure를 하나로 합쳐

 

TTP라고 부른다.

 

Mitre에서 해커 그룹들에 번호를 매겨 (ex. APT 3번) 어떤 TTP를 쓰는 지 분석한다.

 

---

4. Techniques 분석

 

예시로 Execution Tactic의 Powershell  Technique를 분석해보자.

 

powershell

 

위와 같은 상황에서 왼쪽의 글과 오른쪽의 네모박스가 보일 것이다.

 

이 네모박스가 바로 이 공격을 어떻게 탐지할 것이냐에 대한 설명이다.

 

Platform에 대한 설명과 함께 피해 예시와 공격하는 해커그룹도 페이지 아래의 Example 부분에서 확인할 수 있다.

 

---

 

Mitre를 사용하는 이유는

 

공격자들이 실제 공격을 수행하는데에 있어

 

해커별로 어떤 Tactic과 Technique을 사용하는지에 대한 정확한 이해가 가능하기 때문이다.

 

이를 체계적으로 이해해야 침해사고 대응관점에서 기술적으로 고도화할 수 있을 것이다.