2020년에 확인된 상위 6가지 MITRE ATT&CK 기법, 방어 회피 전술이 우세 [보고서]
이 보고서는 2020년 동안 MITRE ATT&CK 프레임워크에 매핑된 Recorded Future® 플랫폼 데이터 소스에 태그된 전술 및 기법에 대한 높은 수준의 환경을 간략하게 설명합니다. 데이터는 2020년 1월 1일부터 12월 1일까지를 대상으로 합니다. 이 보고서는 특히 레드팀 및 블루팀 연습, 침투 테스트, 위협 헌팅, 다양한 보안 프로토콜 우선순위를 알리기 위해 프레임워크에 의존하는 보안 팀과 관련이 있는 MITRE ATT& CK 프레임워크에 익숙한 사용자를 대상으로 작성되었습니다.
Executive Summary
2020년 기록된 미래 플랫폼에 따르면 가장 널리 사용된 6가지 기법은 T1027 - 난독화된 파일 및 정보, T1055 - 프로세스 주입, T1098 - 계정 조작, T1219 - 원격 액세스 도구, T1082 - 시스템 정보 검색, T1018 - 원격 시스템 검색입니다. 상위 6개와 관련된 추가 "연관 기술" 또는 MITRE ATT&CK 기술에는 다음 세 가지가 포함됩니다: T1497 - 가상화/샌드박스 회피, T1083 - 파일 및 디렉터리 검색, T1036 - 마스커레이딩.
이 중 네 가지 기법은 방어 회피 전술로 분류되며, 끈기와 발견이 그 뒤를 잇습니다. 데이터에서 방어 회피 전술이 우세한 것은 이러한 전술이 멀웨어에서 점점 더 일반화되고 있다는 Insikt Group의 관찰과 일치합니다. 이러한 기술을 파악하면 코로나19로 인한 원격 근무를 악용한 기회주의적 위협 행위자부터 유명 랜섬웨어 운영자의 대규모 확장으로 인한 유출 및 갈취까지, 작년에 사이버 위협 환경이 어떤 양상을 보였는지 파악할 수 있습니다. 확인된 모든 기법은 2020년 사이버 공격의 성공에 중요한 역할을 했습니다.
방어자의 과제는 이러한 정보를 실행 가능한 정보로 만드는 것입니다. 지능형 위협 공격자가 자신의 진짜 의도를 숨기거나 정상적인 활동과 섞여 들어가려고 시도하기 때문에 이러한 기법 중 일부를 탐지하는 것은 어려울 수 있습니다. MITRE ATT&CK 용어집에서 언급했듯이, 데이터를 개별적으로 볼 것이 아니라 방어 회피 또는 지속성과 같은 전술을 강조하는 활동 패턴으로 보아야 합니다. 이러한 기술을 추가적인 고충실도 이벤트와 연관시킴으로써 방어자는 의심스러운 활동의 징후를 더 잘 찾아낼 수 있습니다. 이 보고서에는 강조 표시된 기법을 사용하여 관찰된 개별 멀웨어와 보다 높은 수준의 탐지 전략에 대한 탐지가 모두 포함되어 있습니다.
배경
MITRE ATT& CK는 실제 관찰을 기반으로 한 적의 전술과 기법에 대한 전 세계적으로 액세스 가능한 지식 기반입니다. ATT&CK 프레임워크는 민간 부문, 정부, 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론 개발의 기초로 사용됩니다. ATT&CK 프레임워크의 도움으로 보안팀은 공격자의 행동에 대해 더 넓은 시야를 확보하여 방어 및 탐지 방법을 기법에 대해 테스트할 수 있습니다. 인텔리전스 제공, 전술 및 기법 동향 추적, 레드팀 또는 적 에뮬레이션을 통한 테스트 수행, 침입에 대한 네트워크 및 시스템 방어 개선 등 다양한 사이버 보안 분야에서 유용한 도구로 자리 잡았습니다.
ATT&CK 프레임워크는 2018년에 발표된 이후 약 200개의 고유한 전술, 기법 및 절차(TTP)를 포함하며 발전해 왔습니다. 최근 Pre-ATT&CK 프레임워크와 메인 엔터프라이즈 ATT&CK 프레임워크의 통합과 하위 기술의 도입으로 프레임워크의 사용성이 더욱 향상되었습니다.
방법론
2019년 보고서에서 Insikt Group은 Recorded Future Malware Deblastation Sandbox를 사용하여 상위 ATT&CK 기술을 찾아냈습니다. ATT&CK 프레임워크의 변경 사항과 Recorded Future 데이터의 지속적인 개선을 기반으로, Recorded Future 플랫폼에서 세 가지 쿼리를 통해 2020년도에 사용된 '상위' MITRE ATT&CK 기술을 식별했습니다. 각 쿼리의 데이터는 Insikt Notes, Recorded Future Malware Detonation Sandbox 샘플, Attack Vectors에서 가져와 Recorded Future에서 자동으로 분류한 것입니다.
Insikt 그룹 노트는 첫 번째 쿼리로 대표되는 광범위한 위협 인텔리전스 및 사이버 공격을 다룹니다. 두 번째 쿼리는 멀웨어 폭발 샌드박스 샘플 분석을 소스로 사용하여 멀웨어 실행에 초점을 맞춘 기술적 관점을 제공합니다. 세 번째 쿼리는 추가 정보를 수집하기 위한 공격 벡터로 MITRE ATT&CK 기법이 지정된 사이버 공격 이벤트를 찾습니다. 쿼리를 분리하여 오탐을 걸러내고 사용된 기술을 보다 전체적으로 파악할 수 있도록 했습니다.
Pre-ATT&CK와 하위 기술을 포함하는 ATT&CK 프레임워크의 중간 개정으로 정찰부터 유출까지 사이버 킬 체인을 보다 정확하고 상세하게 표현할 수 있게 되었습니다. 인식트 그룹 노트는 완성된 인텔리전스 또는 '소문'(예: 자격 증명에 대한 액세스 권한이 있다고 주장하는 위협 행위자)을 다루기 때문에 익스플로잇 전후의 전술(정찰, 초기 액세스, 영향 등)을 다루고 있습니다. 그러나 멀웨어 폭발 샌드박스 결과는 제출된 악성 샘플의 동적 분석을 기반으로 악용 전술(예: 실행, 지속성 또는 권한 에스컬레이션)에 초점을 맞추고 있습니다. 공격 벡터의 결과는 레코디드 퓨처가 전 세계 사이버 공격에 사용된 전술을 처리하고 분류한 결과를 기반으로 하며, 그 종류는 매우 다양합니다.
인시크트 노트, 멀웨어 폭발 샌드박스 결과, 공격 벡터에 대한 언급은 서로 다른 범위의 전술을 다루기 때문에 세 가지 쿼리를 함께 사용하면 2020년에 사이버 공격에 사용된 핵심 기법의 전체 라이프사이클을 더 잘 파악할 수 있습니다.
아래의 각 열은 Insikt 노트의 등장, 멀웨어 폭발 샌드박스 소스의 등장 또는 녹화된 미래 플랫폼의 공격 벡터 엔터티와의 연관성별로 가장 많이 참조된 MITRE ATT&CK 기법으로 채워져 있습니다. 이 표의 목록은 참조 수에 따라 내림차순으로 정렬되어 있습니다.
표 1: 쿼리별로 분류한 상위 10가지 MITRE ATT&CK 기술(출처: 레코디드 퓨처)
상위 6개 ATT&CK 기술 분석
표 2: 2020년 전체 상위 6대 ATT&CK 기술(출처: 레코디드 퓨처)
두 개 이상의 소스에서 관찰된 6가지 기법을 확인했으며, 이 중 세 가지 소스 그룹 모두에서 발견된 기법은 단 두 가지뿐이었습니다: T1027 - 난독화된 파일 및 정보_와 T1055 - 프로세스 인젝션입니다. 각각 방어 회피 (TA0005) 및 권한 상승 (TA0004) 전술에 속하는 이 두 가지 기법은 랜섬웨어 운영자에게만 유용한 T1486 - 영향을 위해 암호화된 데이터와 같은 특정 기법과 달리 대부분의 성공적인 사이버 위협 운영에 필수적이기 때문에 위협 행위자 사이에서 많이 사용되고 있습니다.
추가 기술인 T1098 - 계정 조작, T1219 - 원격 액세스 도구, T1082 - 시스템 정보 검색 및 T1018 - 원격 시스템 검색은 세 가지 소스 유형 중 두 가지에만 존재했습니다. 이러한 기법은 2020년 사이버 환경의 일부에 불과하며, 코로나19로 인해 원격 근무를 이용하는 기회주의적 위협 행위자들과 유명 랜섬웨어 운영자들이 유출 및 갈취를 위해 크게 확장하는 등 2020년 사이버 환경의 일부에 불과합니다.
2019년의 결과에 따르면, 이러한 기법 중 가장 많이 사용되는 전술은 방어 회피입니다. 랜섬웨어, 원격 액세스 도구(RAT) 또는 인포스틸러를 배포하는 위협 행위자는 모두 정적 파일 탐지에 탐지되지 않는 난독화된 파일을 사용하거나 프로세스 주입 기술을 통해 합법적인 서비스로 위장하는 등 탐지를 회피하려고 합니다.
인싯트 그룹은 관련 멀웨어, 위협 행위자, 관련 기법 등 지난 1년간 6가지 기법 각각에 대한 관련 사례를 정리했습니다. 언급된 각 멀웨어에 대한 완화 및 탐지 제안이 일렬로 링크되어 있습니다.
추가 ATT&CK 기술 분석 및 탐지
표 3: 방법론에 표시된 나머지 MITRE ATT&CK 기법(출처: 레코디드 퓨처)
Insikt Group은 2020년에 위협 행위자들이 널리 사용한 16개의 추가 MITRE ATT&CK 기법(표 3)을 확인했습니다. 세 쿼리의 '상위 10개' 목록 중 하나에서 확인되었지만, 두 개 이상의 쿼리에는 나타나지 않았기 때문에 위의 '상위 기법 분석' 섹션에서는 자세히 설명하지 않았습니다.
이 중 일부는 '관련 기술' 하위 섹션에 언급되어 있으며, 여기에는 T1497 - 가상화/샌드박스 회피, T1083 - 파일 및 디렉터리 검색, T1036 - 마스킹 등 세 가지 기술이 두 번 이상 언급되어 있습니다. 방어 회피 및 발견 전술로 분류되는 이러한 기법은 멀웨어 샌드박스 쿼리에서 참조를 얻습니다.
이 세 가지 기법 모두 자신의 진짜 의도를 숨기거나 정상적인 활동과 혼합하려는 시도가 포함되어 있어 탐지하기가 어려울 수 있습니다. MITRE ATT&CK 용어집에서 언급했듯이, 데이터를 개별적으로 볼 것이 아니라 방어 회피 또는 지속성과 같은 전술을 강조하는 활동 패턴을 가지고 있어야 합니다. 방어자는 이러한 기술을 추가적인 고충실도 이벤트와 연관시켜 의심스러운 활동의 징후를 더 잘 찾아낼 수 있습니다.
T1497 - 가상화/샌드박스 회피는 새로운 기법은 아니지만, 작년에 그 사용이 증가하여 Pysa 랜섬웨어 또는 BABAX Stealer와 같은 멀웨어 변종에서 나타났습니다. T1497 - 가상화/샌드박스 회피 기법 탐지는 Yara 규칙 프로젝트의 YARA 규칙 Antidebug_antivm을 사용하여 수행할 수 있습니다. 이 Yara 규칙은 가상화/샌드박스 회피 전술의 하위 집합만 탐지하므로 시작점으로 간주하거나 다른 탐지 기술 또는 도구와 함께 사용해야 합니다.
모니터링 도구에서 의심스러운 활동을 모니터링하여 T1083 - 파일 및 디렉터리 검색과 T1036 - 마스킹 기술을 모두 탐지할 수 있습니다. T1083 - 파일 및 디렉터리 검색의 경우, 위협 행위자가 네트워크를 적극적으로 열거할 때 일반적으로 실행되는 특정 명령이 있습니다. JPCERT는 공격자들이 악용하는 몇 가지 일반적인 명령어에 대해 설명했습니다. 파일 검색 및 열거와 가장 관련성이 높은 명령은 "dir", "type", "net view" 및 "net use"입니다.
"dir", "type", "net view", "net use" 등의 명령은 시스템 관리자도 사용하므로 이러한 명령만으로는 악의적인 활동을 경고하기에 충분하지 않습니다. 그러나 이러한 명령의 실행과 30분 이내에 원격 드라이브에서 파일을 다운로드하는 활동이 결합된 경우, 예를 들어 악의적인 활동을 더 잘 나타낼 수 있습니다. 이 외에도 위협 행위자는 '관련 기술' 카테고리에서 관찰한 것처럼 T1082 - 시스템 정보 검색 및 T1018 - 원격 시스템 검색을 포함한 여러 검색 전술을 사용할 가능성이 높습니다.
T1083 - 파일 및 디렉터리 검색과 마찬가지로, T1036 - 가장에 대한 탐지는 합법적인 애플리케이션 및 도구의 부적절한 사용을 식별하는 데 의존합니다. 선버스트 멀웨어는 솔라윈즈 프로세스에서 실행되고 코드가 C2 통신에 솔라윈즈 오리온 개선 프로그램(OIP)을 사용하기 때문에 가장 멀웨어의 좋은 예라고 할 수 있습니다. 이러한 활동을 탐지하려면 이러한 도구의 정상적인 동작을 이해한 다음 이상 징후를 식별해야 합니다. 선버스트 멀웨어는 가장을 위해 정교한 기술을 사용하지만, 아웃바운드 연결을 모니터링하거나 자격 증명 수집 또는 권한 상승을 나타내는 솔라윈즈 프로세스, 사용자 또는 호스트의 활동을 모니터링하면 탐지가 가능할 수 있습니다.
전망
ATT&CK 프레임워크는 사이버 공격의 라이프사이클을 사이버 보안 커뮤니티에서 인정하는 일련의 TTP에 매핑하도록 설계되었습니다. 방어자는 사이버 공격을 이 프레임워크에 매핑하여 방어할 기술의 우선순위를 정할 수 있습니다. 네트워크 및 엔드포인트 방어 기술이 가장 새로운 위협에 적응함에 따라 공격자는 방어자의 탐지를 회피하는 혁신적인 방법을 개발하는 데 계속 집중할 것입니다. 공격자와 방어자 간의 끊임없는 싸움으로 인해 방어 회피는 매년 가장 많이 사용되는 전술로 남아 있습니다.
방어자는 초기 액세스 단계에서 공격자를 식별하기 위한 도구와 탐지에 우선순위를 두어 공격이 피해자를 감염시키기 전에 차단해야 하지만, 이것이 항상 가능하거나 쉬운 일은 아닙니다. 또한 방어자는 방어 회피 전술에 요약된 37가지 기법, 특히 이 보고서에서 설명한 2020년 가장 많이 사용된 기법을 우선적으로 고려해야 합니다. T1140 - 파일 또는 정보 난독화/복호화 해제와 같은 특정 방어 회피 기법에 대한 탐지를 구축할 때 방어자가 직면하는 한 가지 어려움은 공격자가 사용하는 다양한 구현 방식입니다. 이러한 경우에는 기술 자체보다는 특정 기술 아래에 숨겨진 탐지 가능한 기본 아티팩트와 동작에 초점을 맞추는 것이 더 중요합니다.
작년 조사 결과와 마찬가지로, 2020년에는 방어 회피 다음으로 가장 많이 사용된 전술이 ' 발견 '이었습니다. 디스커버리 전술의 광범위한 사용은 거의 모든 공격자들이 민감한 정보를 발견하고 훔치려는 공통된 목표를 가지고 있다는 점을 강조합니다. 여기에는 랜섬웨어 배후에서 갈취 목적으로 데이터를 발견하고 유출하는 넷워커와 같은 랜섬웨어 운영자, 비트코인 지갑을 찾는 피커스틸러와 같은 정보 탈취자, 향후 측면 이동을 위해 네트워크 검사를 실행하는 SDBbot과 같은 RAT가 포함됩니다. 위에서 설명한 것처럼 위협 행위자가 Discovery를 수행하는 데 사용하는 많은 기술은 합법적인 용도로 사용되므로 방어자는 이러한 합법적인 애플리케이션 및 도구의 부적절한 사용을 식별하는 탐지 기능을 구축하는 데 집중해야 합니다.
방어 회피 및 발견 전술로 캡슐화된 기술을 식별하면 방어자는 공격이 진행되는 동안 공격을 탐지할 수 있는 기회를 얻을 수 있으며, 이는 피해를 완화하는 데 매우 중요합니다. 이 두 가지 전술은 방어자가 우선적으로 고려해야 하지만, 나머지 12가지 전술에 대한 탐지 기능을 구축하는 것도 중요합니다. 공격자가 ATT&CK 매트릭스에서 다른 기법을 사용할 때마다 방어자에게 악의적인 활동을 탐지할 수 있는 새로운 기회가 주어집니다. 각 섹션에 규정된 완화 조치, 공개적으로 사용 가능한 ATT&CK 매핑 탐지 메커니즘, Insikt 그룹 헌팅 패키지를 사용하면 방어자는 최신 TTP에 대한 최신 방어를 유지할 수 있습니다.
관련