위협 사냥 기법, 전술 및 방법론: 단계별 소개

이 기사를 시작하며 이렇게 과감하게 말할 수 있습니다 위협 사냥 은 생각보다 쉽고, 저희 블로그 글을 읽으시면 즉시 전문가가 될 것입니다. 불행히도, 또는 다행히도, 그것은 사실이 아닙니다. 하지만 우리는 사이버 위협 사냥꾼로 시작하는 것이 is 어렵다는 것을 이해합니다. 그렇기 때문에 우리는 위협 사냥 기본에 관한 일련의 가이드를 소개합니다. 

예방 조치는 난공불락의 방어를 위한 만병통치약이 아닙니다. 그렇기 때문에 위협 사냥이 중요하게 여겨집니다. 하지만, 어디서 시작해야 할까요? 이 블로그에서는 위협 사냥 방법론, 특히 위협 사냥 기술 and 위협 사냥 전술.

위협 사냥 전술

위협 사냥 전술 은 사이버 위협 사냥꾼이로 시작하는 것이 반응적 및 능동적 위협 사냥.

목표 기반 위협 사냥

목표 기반 위협 사냥 은 특정 위협을 찾기 위해 초기 데이터 수집 시 잘 작동합니다. 예를 들어: 

• 고급 지속 위협(APT) 그룹, 그들의 전술, 기술, 절차(TTP) 포함 
• 프레임워크 프레임워크® 나 또는 사이버 킬 체인 , 그리고 SANS Institute의 프레임워크, , 그리고 SANS Institute의 프레임워크, and the frameworks by 어디서 시작할지 모르신다면, 저희의 and 어디서 시작할지 모르신다면, 저희의 MITRE ATT&CK 가이드 를 확인해 보세요. 자체 연구 또는 세계적 수준의 위협 인텔 기관에서 얻은 침해 지표(IOCs).
• 데이터 기반 위협 사냥

데이터 기반 접근 방식은 목표 기반 사냥을 전환시킵니다. 데이터 수집, 분석 및 관심 항목과 사용 가능한 데이터에 따라 사냥할 대상을 정의하십시오. 한 개 이상의 위협을 탐지할 수 있는 데이터 세트가 좋은 시작점이 될 수 있습니다.

데이터 기반 위협 사냥은 조직이 오늘날 가지고 있는 것에 집중하게 해줍니다. 반면에, 목표 기반 위협 사냥은 추가적인 자원이 필요한 데이터의 격차를 알려 줍니다. 최고의 위협 사냥 팀은 두 가지 전술을 모두 사용하는 경향이 있습니다.

위협 사냥 기술과 방법론

일반적으로,

적대자는 목표를 달성하기 위해 최소 저항의 길을 따릅니다 . 모든 인간처럼, 그들도 실수를 하고, 증거를 남기며, 기술을 재활용합니다. 그리고 당신은 이 점을 당신의 이점으로 사용할 수 있습니다. 그렇다면 이제 기본위협 사냥 방법론 에 대해 살펴보겠습니다. 효과적인 사냥을 위해.

1단계: 인프라 파악하기

이 단계가 당연하게 여겨질 수 있지만, 조직의 종점 수조차 모르는 조직이 꽤 많다는 사실에 놀라실 것입니다. 이 과정에 들어가기 전에, 다음 질문을 스스로에게 던져보세요: 위협 사냥 기술내 환경의 범위는 무엇인가? 

• 적이 환경을 어떻게 표적으로 삼으려고 할 것인가? 
• 내 직원들은 실제로 환경을 어떻게 활용하고 있나?
• 가시성, 평가 능력 및 대응 능력의 격차는 무엇인가?
• 2단계: 데이터 소스

모든 위협 사냥의 가장 기초적인 부분은 데이터입니다.

데이터 소스는 능동적 수동적 or 능동 데이터:

• 는 이미 악성으로 판정된 이벤트를 뜻합니다. 이 데이터는 IDS, IPS, 안티바이러스 등에서 얻을 수 있습니다. 예를 들어, 안티바이러스 솔루션은 인식된 파일을 격리할 때 이벤트를 생성할 것입니다 수동 데이터 수동 데이터.
• 는 전체 이벤트 범위로, 악성 여부와 관계없이 제공됩니다. Windows 이벤트 로그, sysmon, 클라우드 로그, 방화벽 로그, zeek 등이 예가 될 수 있으며, 대다수 시스템은 성공 및 실패한 모든 인증 이벤트를 제공합니다. 수동 데이터는 편견이 없으며, 단순히 이벤트의 기록일 뿐입니다. 양쪽 유형의 데이터 모두 가치가 있습니다. 그러나 C

사이버 위협 사냥꾼로 시작하는 것이에게 있어서 수동 데이터 소스가 더 유용합니다. 이 데이터는 다른 사람의 연구와 탐지 논리에 의존하지 않고 모든 가시성을 제공하기 때문입니다(그들의 편견).

또 다른 도전 과제는 데이터 수집 비용 관리입니다. 이는 진짜 고통스러울 수 있습니다. ‘욕심쟁이’ 접근을 적용한다면 필요한 로그를 얻지 못할 수도 있습니다. 그리고 예, 과거의 이벤트도 필요합니다. 일반적인 권고사항으로는 최소한 1년의 로그를 보관하는 것입니다. 하지만 이는 준수, 산업 특성 및 조직의 전략에 따라 달라집니다. 수동 데이터 소스는 능동 소스보다 수집 비용이 더 많이 들 것입니다.

데이터 소스 예시: 프로세스 생성

아마도 수집해야 할 가장 중요한 수동 데이터 소스 중 하나는 프로세스 생성. 프로세스 생성 이벤트는 기존 MITRE ATT&CK 기술 중 3분의 2 이상을 탐지할 수 있도록 도와줍니다. 일부 사람들은 프로세스 생성 이벤트 수집이 비밀번호 누출로 이어진다고 주장할 수도 있습니다. 하지만 이러한 로그를 수집하지 않음으로써 더 많은 것을 잃게 되며, 민감한 데이터 노출을 피하기 위한 해결책이 있습니다. 프로세스 생성 프로세스 생성 이벤트

적들이 손가락을 튕겨 당신의 시스템을 ‘장악’할 수 없습니다. 일반적으로 그들은 자신의 목표를 달성하기 위해 일련의 행동을 취해야 합니다.

3단계: 적과 같은 사고 하기

대부분의 경우, 이것은 발판을 확보하고, 지속성을 구축하며, 권한을 상승하고, 횡단 이동 등을 포함하는 단계들을 포함합니다.  특정 유형의 공격은 적이 이러한 조치를 일부 또는 모두 피할 수 있게 할 수도 있습니다. 예를 들면:

적이 단순히 귀하의 주요 웹사이트를 오프라인으로 만들고 싶다면, 아마도 DoS (서비스 거부) 회사에 비용을 지불하여 그렇게 할 수 있습니다. 

• SQL 인젝션 공격이나 노출된 클라우드 저장소를 발견하는 것과 같은 공격으로는 적들이 발판을 확보하지 않고서도 민감한 데이터를 도용할 수 있습니다. 
• 보호 범위를 설정하는 것을 보장하십시오

먼저, 프레임워크(예: MITRE ATT&CK, 사이버 킬 체인 등)를 확인하고 그 뒤에 있는 공격을 이해하려면 더 깊이 들여다보십시오. 물론 모든 경우에 적용 가능한 보편적인 매트릭스는 없지만, 모든 프레임워크는 공격 벡터 설명에 유사한 접근법을 가지고 있습니다.

킬 체인에 익숙해지면 먼저 커버해야 할 기술과 하위 기술 목록을 생각해보십시오. 모든 기술을 커버하는 것이 첫 번째 의도가 될 수 있지만, 이는 비싸고 시간 소모적이며, 여전히 시스템을 완전히 보호하지 않는다는 이유로 실패할 가능성이 높습니다. 

불필요한 번거로움을 피하려면,

다음 아이디어를 염두에 두세요 적이 취할 수 있는 벡터를 학습하십시오:

• 모든 공격은 프레임워크에만 국한되지 않습니다
• 새롭게 등장하는 기술에 주목하십시오
• 적이 귀하의 업계를 공격할 수 있는 APT 및 그들의 스타일을 파악하십시오
• 위협 인텔이 혼란스러울 경우, 위협 행위자에 대한 과거 데이터를 신뢰하지 마십시오
• 신뢰할 수 있는 보고서를 통해 업계 동향을 따라가십시오
• 4단계: 데이터 분석

로그를 수집한 후에는 분석할 차례입니다. C로서

, 데이터와 작업하는 것이 필수적이기 때문에 단순히 코드 작성에 능숙하기만 해서는 안 됩니다. 연습이 완벽을 만듭니다만, 중요한 것은 누구에게 배우느냐입니다. 우리의 위협 사냥꾼의 경험을 바탕으로, 다음과 같은 팁을 수집했습니다. 로 시작하는 것이성공적인 로그 분석을 위한 팁

다음 제안은 위협 사냥 프로세스를 상당히 향상시킬 수 있습니다:

단일 경고는 아무 것도 아니지만 여러 경고에 동일한 패턴이 있거나 의심스러운 이벤트의 연쇄가 있다는 것은 당신이 찾고 있는 것입니다.

• 이를 추적하려면 다음을 수행하십시오: 모든 관련 이벤트를 수집하십시오(예:
  • ) 하나의 보고서로. 프로세스 생성가장 흥미로운 것들을 선택하십시오.
  • 가장 일반적인 것들이 가장 의심스럽지 않다는 것을 기억하세요. 수동으로 선택하거나 주피터 노트북 이나 엑셀 테이블을 사용하여 선택할 수 있습니다. 대안적으로는 일부 고급 필터링을 위해 파이썬 스크립트를 작성할 수도 있습니다. 주로 명령줄 세부 정보를 확인해야 합니다. 가장 관련 있는 이벤트를 선택했으면, 간단한 보고서를 작성하세요(백만 또는 두 백만 개 중에서 약 100,000개의 이벤트를 포함할 수 있습니다), 이를
  • 로 내보내고 분석가에게 넘기거나 직접 분석하십시오. 로 내보내고 분석가에게 넘기거나 직접 분석하십시오.2백만 개의 경고 속에서 길을 찾고자 하는 것이 너무 많다고 느껴질 수 있습니다. 그러나 수백만 개의 경고가 있더라도 몇 시간 이상 소요되지는 않을 것입니다.

  프로세스 생성 감사

• 는 심지어 제로 데이 및 공급망 공격에 대해서도 가장 좋은 방법입니다. 우리가 전에 언급했듯이, 이러한 이벤트를 수집하는 것만으로 대부분의 기술을 커버할 수 있습니다. 모든 행동이 MITRE ATT&CK에 등록되어 있는 것은 아니라는 것을 기억하세요.

• 예를 들어, 짧은 파일 이름(예: )이나 의심스러운 경로를 기억하십시오, 예: )이나 의심스러운 경로를 기억하십시오, 예:. .플로리안 로스 에 따르면, 다음과 같은 이상에도 주의를 기울여야 합니다:변경된 시스템 파일 (

  • 오피스 애플리케이션 쉘 스포닝 (오피스 애플리케이션 쉘 스포닝 ( as 오피스 애플리케이션 쉘 스포닝 () 
  • 잘 알려진 도구의 이름을 변경한 경우 (잘 알려진 도구의 이름을 변경한 경우 (, 잘 알려진 도구의 이름을 변경한 경우 () 
  • 비범한 경로에서의 실행 (비범한 경로에서의 실행 ( as 비범한 경로에서의 실행 () 
  • , 등등) , 등등) , , 등등) 파일 이상 (Microsoft 저작권이 있는 UPX 패킹 파일) 
  • 의심스러운 TLD (.dll
  • 에서 파일 다운로드 귀하의 회사가 허용한다면, 관찰한 것을 공유하십시오. 협력 사이버 방어는 혼자 싸우는 것보다 훨씬 더 효과적입니다. 도메인에서 다운로드) 귀하의 회사가 허용한다면, 관찰한 것을 공유하십시오. 협력 사이버 방어는 혼자 싸우는 것보다 훨씬 더 효과적입니다. 5단계:
• 위협 사냥 프로세스

준비가 끝나면 (인프라를 잘 알고, 필요한 데이터를 가지고 있고, 분석했습니다), 사냥을 시작할 수 있습니다. 고급 공격을 탐지하는 것은 복잡해 보일 수 있지만 올바른 원격 측정을 사용하면 훨씬 더 쉬워집니다. 고급 적들도 재사용된 전술, 기술 및 절차(TTP)에 의존하고 있음을 명심하십시오.

아직도 의심이 드나요? 그렇다면, 약 1년 동안 미발견 상태로 남아있었던 솔라윈즈 공급망

거의 모든 공격에는 더 그럴듯하고 더 발견하기 어려운 것들이 있습니다 고통의 피라미드 공격의 대표적인 예를 살펴보세요.

. 소알로그레이트 예시에서는 다음과 같이 고급 및 새로운 기술들이 있습니다. 이 기술들은 복잡하며 (불가능하지는 않지만) 대비하는 것이 어렵습니다:골든 SAML 

• 메모리 전용 악성코드 
• 스테가노그래피 
• IP 주소 위장 
• 암호화 파일 
• 암호화 / 새로운 HTTP C2 
• 암호화 / 새로운 HTTP C2 
• 반면에, 사냥하기 더 쉬운 좀 더 가벼운 기술과 방법들이 있습니다: 

파워셸 사용 

• 프로세스 생성 / LOLBAS 사용 
• 예약 작업 생성 
• 비정상적인 계정 활동 
• 다음 스크립트가 반드시 악성일 필요는 없습니다. 하지만 이것을 본다면

가 가 를 실행하면 주목하고 최소한 이 환경에서 이전에 실행되었는지 확인해야 합니다. 고급 적들이 매우 발전된 작업을 하더라도 여전히 잘 알려진 LOLBAS 를 실행하면 주목하고 최소한 이 환경에서 이전에 실행되었는지 확인해야 합니다. 고급 적들이 매우 발전된 작업을 하더라도 여전히 잘 알려진 LOLBAS“Rundll32“을 사용했습니다. 

Rundll32.exe vbscript:"..mshtml,RunHTMLApplication "+Execute (CreateObject("Wscript.Shell").RegRead("HKLMSOFTWAREMICROSOFTWindowsCurrentVersionsibot")) (window.close) 

여기서 우리가 보고 있는 것은 무엇입니까?

1. 모든 사이버 공격은 하나의 과정이며 무작위가 아닙니다. 그래서 킬 체인이라는 개념이 있습니다. 킬 체인은 적이 목표를 달성하기 위한 단계들입니다. 위협 사냥에 처음인 경우, 직관과 적과 같은 사고 방식을 신뢰하는 것은 최선의 아이디어가 아닐 수 있습니다. 하지만 공격 벡터와 다양한 APT를 분석하는 것은 좋은 출발점이 될 수 있습니다.
2. 프로세스 생성 Rundll32” 
3. Rundll32 잘 알려진 LOLBAS “

이런 경우 확인할 수 있습니다. 공격 공개 전에, LOLBAS 인수와 함께 사용. Rundll32.exe and RunHTMLApplication.

에 기반하여 경고를 생성하는 SOC Prime Platform 내의 규칙 이 있었습니다.

위협 사냥은 부담스럽고 도전적일 수 있지만, 그럴 만한 가치가 있습니다. 배우고, 연습하고, 호기심을 가지세요. 그리고 우리는 위협 사냥의 기본에 관한 가이드를 제공함으로써 당신의 길을 더 매끄럽게 만들려고 노력할 것입니다.

웹 세미나 를 시청하십시오. 여기서는 실제로 사용된 여러 공격과 탐지 그리고 사용될 수 있었던 탐지를 분석합니다.

IOCs 기반 vs. 행동 기반 규칙 IOC 기반 규칙이 효과적일까요? 네, 그렇습니다만, 항상 그렇지는 않습니다. 그 문제는 IOC 보고서 발행은 종종 사이버 보안 실무 현실보다 지연될 때가 많다는 것입니다. 이에 더하여 IP, 해시, 도메인 농 도구들은 거의 다시 사용되지 않을 가능성이 높습니다. 반면에 비정상적인 활동을 식별하기 위한 위협 사냥 쿼리는 일일, 주간, 월간을 넘어 수십 년 동안 유용할 수 있습니다. 따라서 더 오랜 효과를 위해 행동 기반 규칙을 선택하십시오. 

• 사이버 위협 사냥꾼
• 은 아마도 사이버 보안 내 가장 창의적인 역할일 것입니다. 비록 그것이 분석을 바탕으로 한 것이지만 말입니다. 산업의 속도를 따라가려면 항상 추가적인 지식, 통찰력 및 영감을 얻어야 합니다. 다음은 당신의 위협 사냥 과정을 풍부하게 할 수 있는 몇 가지 아이디어입니다.
• 악성코드 분석은 배우기 좋은 방법입니다. 아이디어를 빌려 적의 코드를 재구성할 수 있습니다. 프레임워크, 디지털 포렌식 처리와 위협 인텔 문맥을 무시하지 마십시오. 더 많은 것을 알수록 더 준비가 됩니다.신흥 위협에 대한 문맥의 모음을 항상 사이버 위협 검색 엔진에서 찾을 수 있습니다
• 디지털 포렌식 처리와 위협 인텔 문맥을 무시하지 마십시오. 더 많은 것을 알수록 더 준비가 됩니다. , 기타 프레임워크나 문서를 활용하여 지식을 확장하고 실력을 향상하세요. 감지에 대한 영감, 문맥 및 아이디어를 찾기 위해 추가적인
  • 도구 를 사용하세요. 우선, 무료 및 오픈 소스 프로젝트를 확인하세요. 예를 들어:
  • 도구 바이너리용
  • 도구 악성코드 샘플용
  • 도구 악성코드 분석용
  • 도구Sigma 규칙 번역용
• MalwareBazaar  IOC 기반 쿼리 생성용 위협 사냥 아이디어가 부족해지면, SOC Prime 플랫폼의

퀵 헌트