초기 접근이란 무엇인가? MITRE ATT&CK® 초기 접근 전술 | TA0001
목차:
일부 MITRE ATT&CK 전술은 보안 전문가의 특별한 주의가 필요하며, 초기 접속은 그 중 하나입니다. 공격자가 침입하지 못하면 그들의 킬 체인을 다른 단계로 가져갈 수 없기 때문입니다.
올해 초, Microsoft는 1,370만 달러 를 버그 바운티로 지급했으며, 1,091개의 취약점을 발견한 대가로 막대한 20만 달러를 미공개 Hyper-V 취약점에 대해 지급했습니다. 이는 얼마나 가치 있는 선제적 사이버 방어인지를 보여줍니다. 그리고 아마도 그 새 취약점들 중 상당 부분이 초기 접속에 관한 것일 가능성이 큽니다. 이 게시물 후반부에서 보시겠지만, 단순히 도난 된 자격 증명 이상입니다. 초기 접속은 잠재적으로 어디에나 있습니다.
초기 접속의 일반적인 입구
초기 접속 전술은, 일반적으로 정찰 and 자원 개발과 같은 전술에 이어 다음 단계인 경우가 많습니다. 다시 말해, 실제로 문 안으로 들어가기 전에 어디로 갈지 결정하고, 결정을 내렸다면 어떤 문을 들어갈지와 어떻게 들어갈지 선택해야 합니다. 사이버 공격에도 같은 원리가 적용됩니다. 먼저, 공격자는 네트워크를 적극적으로 스캔하여 그들이 악용할 수 있는 취약 지점이 있는지 확인할 수 있습니다. 정찰이 성공하면 구체적인 목표, 예를 들어 IP를 선택하고 침입 방법을 결정할 것입니다.
APT 기반 접근 방식을 적용한다면, 위협 감지 활동이 특정 공격자의 초기 접속 단계에서의 행동의 범위를 넘어 확장되어야 합니다. 간단히 말하자면, 누군가가 초기 접속을 얻으면, 다양한 일이 일어날 수 있습니다. 심지어 예상치 못한 것일 수도 있습니다. 예를 들어, 초기 접속 브로커라고 불리는 그룹은 네트워크를 손상시키고 다른 위협 행위자에게 접근을 판매합니다. 그들이 초기 접속을 어떻게 얻는지 고도로 살펴보겠습니다.
이론에 들어가기 전에, 우리의 사이버 위협 검색 엔진에서 초기 접속 전술과 관련된 내용을 확인해 보세요. 또한 어떤 위협이나 취약점과 관련된 키워드를 검색하여 관련 정보와 감지 알고리즘을 탐색할 수 있습니다.
피싱
합법적인 사용자가 이메일에서 문서를 열도록 유도하는 것은 공격자가 백도어나 직접적 페이로드를 심는 가장 쉬운 방법 중 하나입니다 (T1566).
악성코드에 감염된 이메일은 종종 스팸이나 가짜와 전혀 다르게 보입니다. 이 형태의 초기 접속은 수십 년 동안 존재했으며, 정상급 조직에서 일하는 전문가들이 여전히 이에 ‘걸려’ 악의적인 링크를 클릭하거나 첨부파일을 다운로드하는 것은 놀랍습니다. 악의자들은 피싱 메시지를 신뢰할 수 있는 것처럼 보이게 하기 위해 많은 노력을 기울였습니다.
출처: 스탠포드
이메일이 noreply@stanford.edu 에서 온 것처럼 보이는 점을 주목하세요. 이메일은 수신자에게 신속하게 행동하게 만드는 보안 경고를 흉내 냅니다.
참고로, 이는 이메일이 아닐 수도 있습니다 – MITRE ATT&CK는 소셜 미디어의 가짜 구직 제안 및 메시지를 통해 악성코드가 전달된 사례를 보여줍니다.
악성 링크는 공격 캠페인의 목표에 따라 다양한 위협 모델을 기반으로 구축될 수 있습니다. 때로는 사용자를 스푸핑된 로그인 페이지로 데려가거나 결제를 위한 청구 페이지로 유도하기도 합니다. 다른 경우에는 세션 토큰을 조용히 훔치거나 드라이브 바이 다운로드를 시작할 수 있습니다. 트로이 목마 Word 문서, zip 파일, 이미지 및 실행 파일과 같은 첨부파일에 관해서는 ATT&CK에 Spearphishing Attachment 하위 기술 (T1566.001)로 추가했습니다. 스피어피싱은 피해자를 정밀하게 목표로 한다는 것을 의미합니다. 그러나 악성 첨부파일은 회사나 개인에 대한 특정한 초점 없이 대규모 캠페인에서 발송될 수도 있습니다.
드라이브-바이 컴프라이즈
MITRE ATT&CK 프레임워크의 기술 (T1189)은 피해자가 일반적인 활동, 예를 들어 인터넷 서핑을 하는 동안 공격자가 브라우저를 통해 익스플로잇 코드를 전달하려고 시도하는 시나리오를 설명합니다.
아마도 타이포스쿼팅 에 대해 들어보셨을 겁니다 – 악성 도메인이 등록되어, 거의 합법적인 도메인처럼 보이지만 인식하기 어려운 작은 오타가 포함된 공격 유형입니다. 그러나 실제 도메인 도 공격자가 자바스크립트, iFrame 또는 교차 사이트 스크립트(XSS)에 악성 코드를 주입하면 손상될 수 있습니다.
드라이브-바이 다운로드를 시작하는 다른 경우에는 악성 광고 및 내장된 웹 애플리케이션 인터페이스 를 이용한 주입 공격 남용이 포함됩니다. 공격자가 대상 시스템이 임의의 스크립트나 코드를 읽게 만드는 모든 입력 필드는 기회가 됩니다.
다음은 웹 애플리케이션 인터페이스:
- CLI – 명령줄 인터페이스
- GUI – 그래픽 사용자 인터페이스
- MDI – 메뉴 기반 인터페이스
- FBI – 폼 기반 인터페이스
- NLI – 자연어 인터페이스
초기 접속을 다루는 또 다른 유형의 공격은 워터링 홀 이라 불리며, 이것은 공격자가 사람들 커뮤니티에 콘텐츠를 호스트하는 웹 사이트에 악성코드를 심으려고 할 때 발생합니다. 이는 모든 피해자를 개별적으로 공격하는 대신 공급업체만 공격하고 손상되면 그 일은 대신 수행해주기 때문에 ‘좋은 거래’입니다.
공용 애플리케이션 익스플로잇
기술 (T1190)은 인터넷 연결 소프트웨어 레벨에서 일어나는 다양한 정교한 익스플로잇에 헌신합니다. 공격자는 피해자의 시스템에 들어가기 위해 버그, 결함, 충돌, 설계 오류를 악용하려 시도합니다. 요즘 종종 사용되는 클라우드에서 손상이 발생하면, 그들은 기본 인스턴스나 컨테이너에서 이탈하고 측면으로 이동하거나 호스트로 더 깊이 이동하려고 할 것입니다.
잠재적으로 손상될 수 있는 소프트웨어 유형을 알아보려면 아래 표를 확인하세요.
|
취약점 |
관련 소프트웨어 |
|
CVE-2017-3066 |
Apache BlazeDS 라이브러리 |
|
CVE-2017-7269 |
Microsoft Windows Server 2003 R2 |
|
CVE-2017-10271 |
Oracle WebLogic 서버 |
|
CVE-2018-13379 |
Fortinet FortiOS 및 FortiProxy |
|
CVE-2019-0604 |
Microsoft SharePoint |
|
CVE-2019-19781 |
Citrix 응용 프로그램 전송 컨트롤러 |
|
CVE-2019-11510 |
Pulse Connect Secure |
|
CVE-2019-9670 |
Synacor Zimbra 협업 스위트 |
|
CVE-2019-18935 |
ASP.NET AJAX |
|
CVE 2020-0688 CVE-2021-26855 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 CVE 2020-17144 |
Microsoft Exchange 서버 |
|
CVE-2021-44228 |
Apache Log4j2 |
|
CVE-2020-10189 |
Zoho ManageEngine 데스크톱 중앙 |
|
CVE-2020-5902 |
BIG-IP |
See https://cve.mitre.org/ 에 가서 영향을 받은 버전 및 자세한 기술 설명을 찾으세요.
보시다시피, 초기 접속 단계에서 공격자는 통신, 관리, 웹 서비스, 심지어 보안 솔루션을 위한 소프트웨어를 악용하려고 합니다. 따라서 새 버전이 제공되자마자 공용 애플리케이션을 업데이트하는 것이 매우 중요합니다. 그렇지 않으면 사이버 보안 상태를 유지하는 것이 매우 어렵습니다. 패치되지 않은 취약점을 효과적으로 처리하기 위해, 개발 팀은 왼쪽으로 이동하고 전체 CI/CD 파이프라인에서 보안 코드 관행과 보안 테스트를 적용하는 것을 점점 더 고려하고 있습니다.
위 표는 사이버 위협 환경 전반에서 벌어지고 있는 것의 작은 일부에 불과합니다. 압도적인 다양한 취약점의 변동과 변화를 따르기가 어렵다는 것은 이해됩니다. 보안 전문가들은 이를 경향으로 요약하여 더 쉽게 만들려고 노력해 왔습니다. 예를 들어, OWASP Top 10 and CWE Top 25 는 가장 ‘인기 있는’ 익스플로잇 유형을 강조하여, 이용중인 모든 제품, 라이브러리, 유틸리티에서 예상치 못한 것을 기대하기보다는 전체적인 취약점 가족을 완화하는 방법을 생각할 수 있도록 합니다.
합법 사용자 계정 침해
유효 계정 기술 (T1078)은 공격자가 실제 사용자 계정을 손상시켜 접근을 얻는 상황을 설명합니다. 이는 직원의 계정일 수도 있고 비즈니스 파트너 또는 계약업체와 같은 제3자의 신뢰할 수 있는 계정일 수도 있습니다. 이 기술은 일반적으로 다단계이며 피싱, 드라이브-바이 컴프라이즈, 외부 원격 서비스 이용, 공용 애플리케이션 익스플로잇과 같은 다른 초기 접속 기술을 병합할 것을 암시합니다.
예를 들어, 연구에 따르면, 악명 높은 Uber 해킹 에는 여러 단계가 포함되어 있었습니다:
- Uber 계약자의 개인 장치는 자격 증명을 노출하는 악성코드에 감염되었습니다.
- 공격자는 다크 웹에서 Uber 계약자의 로그인/비밀번호를 구매했습니다.
- 선택된 피해자의 회사 계정을 대상으로 MFA 피로 공격을 시작했습니다. 적은 사용자를 알림 폭탄으로 공격하고 소셜 엔지니어링(WhatsApp에서 IT 팀원을 가장함)을 적용하여 피해자가 항복하고 최종 인증 단계를 수행하도록 했습니다.
- 그 후, 공격자는 MFA에 대한 자신의 장치를 등록하고 내부 VPN 연결을 통해 Uber 인트라넷에 접근했습니다.
- 행위자는 하드코딩된 관리자 자격 증명이 포함된 PowerShell 스크립트를 발견했습니다.
- 그 자격 증명을 사용하여 Privileged Account Management (PAM) 플랫폼에 로그인했습니다.
- 거기서부터는 자유롭게 조직의 다수의 클라우드 환경 을 탐색할 수 있었습니다.
우리 팀은 Uber 공격의 시작에서의 MFA 범람 탐지를 위한 규칙을 생성했습니다. 우리의 사이버 위협 검색 엔진에서 확인하세요.
외부 원격 서비스의 악용
기술 T1133 는 기 접속의 다수 경우에 VPN 연결이 사용되는 것을 알 수 있습니다. 기타 강조된 연결로는 SSH, VNC, RDP, OWA 및 Citrix가 있습니다.를 통한 초기 접속 시도를 다룹니다. 짐작하시다시피 암호화된 채널을 통해 내부 자산에 대한 원격 접근은 공격자가 매우 환영하는 것 중 하나입니다. 하지만 그들은 실제로 어떻게 침투합니까?
가장 직접적인 방법은 유효한 사용자의 계정에 접근하는 것입니다. 이는 유효 계정 기술 (T1078)과도 관련이 있습니다.
컨테이너화된 환경에서는 초 기 접속에 인증이 필요하지 않을 수 있습니다 . 대신, 공격자는 노출된 Docker 또는 Kubernetes 서버, 웹 애플리케이션 또는 kubelet의 API를 악용할 수 있습니다. 예를 들어, Doki는 열린 Docker 데몬의 API 포트를 통해 몰래 침투하는 암호 관련 백도어입니다.
MITRE ATT&CK에서 절차 예제를 계속 관찰하면 초
소프트웨어 공급망 공격
현대 소프트웨어는 끊임없이 변화하고 있으며, 공급망의 공격 표면도 계속 확장되고 있습니다. 예를 들어, Google은 개발 프로세스의 여러 지점 에서 취약점을 발견할 수 있습니다. 이는 초기 접속 및 그에 상응하는 기술, 공급망 손상 (T1195)를 포함한 다양한 MITRE ATT&CK 전술과 관련이 있습니다.
공급망 손상을 통한 초기 접속은 해킹이나 아이덴티티 및 접근 관리 도구를 사용하지 않는 정교한 방법을 이용하는 것입니다. 예를 들어:
- 악성코드는 양호한 소프트웨어에 포함되어 있습니다. 예를 들어 SolarWinds의 경우 코드 주입으로 공격이 시작되었습니다.
- 프로젝트 인프라의 익스플로잇. 주목할 만한 예는 의존성 혼란으로 Alex Birsan 연구자가 발견한 것입니다.
- 패치된 취약점에 대해 새로운 벡터를 적용하는 것입니다. 예를 들어, 이란의 APT MERCURY는 SysAid 앱을 통한 Log4j 2의 활용 을 통해 초기 접속을 취하는 중이었으며, 이는 이전에는 관찰되지 않았습니다.
초기 접속 공격을 위한 입구 국가대응 및 경계 센터(NCSC) might be useful.
신뢰받는 비즈니스 채널의 훼손
신뢰받는 파트너쉽 은 소프트웨어 수준에서 관리형 서비스 제공업체(MSP)와의 협력을 포함하며, 이들은 조직의 디지털 자원에 대한 특권적 접근 권한을 가지고 있습니다. 이러한 제공업체들은 더 높은 프로파일의 목표에 접근하기 위한 주된 벡터(T1199)로 공격자에게 표적이 됩니다.
적은 보안을 가진 피해자를 찾아 그들이 더 큰 조직과 신뢰 관계가 있음에 따라 먼저 그들을 침구하는 것이 합리적입니다. 이를 위해 그들은 또한 Credential 접근 전술 (TA0005)과 관련된 다양한 기술을 적용할 수 있습니다.
목표로 한 공격은 복잡한 악의적 활동의 시퀀스로, 신뢰 관계의 악용이 정교한 작업의 필수 요소입니다. 예를 들어, Sandworm 그룹은 공격 초기에 spearphishing을 사용하고 NotPetya와 같은 다양한 멀웨어 계열을 사용했습니다. 그들은 심지어 자신들의 멀웨어를 Lazarus 샘플처럼 보이게 위장하려 했습니다. 공격의 한 단계 동안, 그들은 정부 기관 간의 전용 연결을 사용하여 한 네트워크에서 다른 네트워크로 이동했습니다.
이동식 미디어 및 하드웨어의 악용
다음과 같은 기술 이동식 미디어를 통한 복제 (T1091) 및 하드웨어 추가 (T1200)는 주로 물리적 미디어와 펌웨어를 사용하여 기업의 디지털 인프라에 불법 접근을 얻는 것을 설명합니다. 공격자들이 다양한 종류의 장치를 초기 접속 전술에 악용하고자 하는 이유는 주로 하나의 본질적인 특징, 즉 자동 실행때문입니다. 예를 들어, 이동식 미디어가 다른 시스템에 삽입되자마자 즉시 특정 프로세스를 실행하기 시작합니다. 따라서 악성 코드 실행 파일이 장치에 설치되면 즉시 대상 호스트를 감염시킬 것입니다.
예를 들어, CHOPSTICK 스타일의 모듈형 백도어는 APT28에 의해 여러 캠페인에서 사용되었습니다. 기본적으로 그들은 실행 및 런타임 전에도 악성코드를 컴파일하면서 어떤 변형을 사용할지와 언제 사용할지를 선택할 수 있습니다. 다음은 CHOPSTICK 샘플들은 레지스트리, 로컬 디렉토리 및 USB 장치 간의 메시지를 라우팅하여 에어갭/폐쇄형 네트워크를 악용하고 있었습니다.
악성 하드웨어를 심어 기업을 해킹하는 것이 불가능해 보일 수 있지만, 연구자들은 공격자가 단지 200달러의 비용이 들 수 있다고 보여줍니다. 개념 증명 (PoC)은 작은 칩이 핑키 손톱보다 작으며 Cisco 방화벽의 정품 메인보드에 원활하게 추가될 수 있는 방법을 Wired에 게시했습니다. 이 PoC는 흥미로운 폭로 에서 영감을 받았으며, 중국 미세 칩이 최고 제조업체 중 한 곳의 메인보드에서 발견되었음을 밝힙니다. 다른 유형의 하드웨어 추가사항으로는 pwn 플러그, ATM 카드 스키머, WiFi Pineapples, LAN 거북이 등이 있습니다.
이미지 출처: Bloomberg. 중국 스파이 칩의 크기.
초기 접근 탐지 방법
필요한 모든 로깅 장치, 소프트웨어 및 구성이 준비되어 있다고 가정하면 초기 액세스 탐지 패턴을 몇 가지 일반적인 포인트로 줄여보겠습니다.
- 우버 사례와 같이, 고유 세션 ID/사용자 당 MFA 푸시 알림 이벤트 수를 짧은 기간 동안 감지하고 해당 성공/실패 결과를 모니터링하십시오. 이상 발견 시 이는 MFA 피로 공격을 나타낼 수 있습니다.
- 모든 사람에게 교훈이 된 또 하나의 우버 문제는 PowerShell 스크립트의 하드코딩된 자격 증명입니다. 소스 코드 분석 도구 및 디스어셈블러를 사용하여 하드코딩된 비밀을 감지 하고 최상의 완화 실습을 적용하십시오. 둘 다 수행하는 방법에 대한 MITRE의 권장 사항을 참고하십시오.
- 부적절한 입력 유효성 검사 는 모든 초기 액세스의 위험을 증가시키는 일반적인 약점으로, 모든 종류의 코드 주입 공격과 함께 나타납니다. AWS-IAM 사례를 분석하고 탐지 논리를 제공하는 우리의 Medium 블로그 포스트를 참조하십시오. 프로세스 생성 모니터링
- , 파일 접근, 드라이브 생성 및 이동식 미디어의 파일 생성.피싱 탐지
- 에는 감지실 안티 스푸핑 and 조치가 포함될 수 있습니다. 사이버 보안은 로그 모니터링뿐 아니라 올바른 관리에 관한 것이라는 점도 잊지 말아야 합니다.
초기 액세스를 탐지하기 위한 다음과 같은 접근 방식을 탐색하는 것을 권장합니다.
직원 교육을 하십시오.
- 초기 접근은 종종 사회 공학으로 시작됩니다. 직원들은 보안 팀에 악의적 활동을 인식하고 보고하도록 적절히 훈련되어야 합니다. 위협 모델링을 수행하십시오.
- 위협, 발생 가능성, 우선순위 및 탐지/완화 수단을 식별하십시오. 위협 모델링은 자산, 사이버범죄 그룹 또는 소프트웨어에 중점을 둘 수 있습니다. 위협 모델링을 적용하려면 방법론 을 사용하여 애자일 환경에 적용하고, 이를 확장 가능하게 하며 준수를 간소화하십시오.
- 악역이 되어라. 침투 테스트, 윤리적 해킹 및 퍼즈 테스트를 적용하여 적극적으로 위협을 사냥하십시오. 공격자가 이를 악용하기 전에 시스템을 스트레스 테스트하고 개선하십시오.
이제 SOC Prime의 초기 액세스 전술을 위한 가장 최신의 Sigma 규칙의 탐지로 이동해 봅시다. 우리 팀은 지금 탐구할 가치가 있는 규칙을 신중하게 선별했습니다.
드라이브 바이 강취 – T1189
공개 노출 애플리케이션 착취 – T1190
가능성 있는 Atlassian Bitbucket 명령 주입 취약점 활용 패턴 [CVE-2022-36804] (웹 경유)
가능성 있는 CVE-2022-29499 착취 시도 (웹서버 경유)
SQL 인젝션 사용 가능성 있는 WordPress 사용자 자격 증명 접근 성공 사례 (프록시 경유)
Confluence 데이터 센터/서버에 하드코딩된 비밀번호 [CVE-2022-26138] (프록시 경유)
외부 원격 서비스 – T1133
피싱 – T1566
피싱 관련 웹 브라우저 활동 가능성 (프로세스 생성 경유)
공급망 타협 – T1195
비정상적인 SolarWinds 하위 프로세스 (cmdline 경유)
유효한 계정 – T1078
도메인 권한 상승 가능성 [CVE-2022-26923] 활용 (감사 경유)
루트 사용자 액세스 키의 수상한 생성 (클라우드트레일 경유)
해커의 초기 접근 방지
초기 접근을 방지하기 위한 기본 보안 모델을 설정하려면 조직은 CISA 경고를 참조할 수 있습니다 AA22-137A. 요컨대 여기에 포함된 조치는
- 제로 트러스트 접근 관리 정책
- 열린 RDP 포트의 부재 또는 다층 보호
- 역할 기반 접근 제어
- 원격 세션에서 관리자 접근 제한
- 피싱 저항 MFA
- 공급업체 제공 자격 증명의 변경 또는 비활성화
- 중앙 집중식 로그 관리
- 안티바이러스 프로그램
- 위협 탐지 및 취약점 스캔 도구
- 자산 및 패치 관리
- 구성 관리
결국, 사이버범죄 현장에서 무엇이 등장하는지를 아는 것이 적극적인 사이버 방어를 활용하는 데 필수적입니다. 위협 인텔리전스 피드 는 최대 잠재력으로 사용될 경우 많은 가치를 제공할 수 있습니다. 기본적으로 IOC 같은 정보는 SIEM 또는 머신러닝 도구에 입력되어 자동화된 위협 탐지를 위해 사용될 수 있습니다. 고급 수준에서는 다크 웹 포럼을 모니터링하는 인텔리전스 회사가 정보에 입각한 보안 선택을 하는 데 도움을 줄 수 있습니다.
사이버 보안에 관해서는 예방 계획을 세우는 것이 항상 좋습니다. 그러나 공격자는 예상치 못한 곳의 취약점을 악용하려고 하기 때문에 가장 예기치 않게 강타합니다. 이런 상황을 대비하여 SOC Prime의 Cyber Threats Search Engine 을 방문하여 위협 인텔리전스 컨텍스트로 강화되고 MITRE ATT&CK 프레임워크에 매핑된 실행 가능한 탐지 규칙을 즉시 찾으십시오.
