TTPs에 대해 정리해보아요
TTPs
Tactic(전술), Technique(기술), Procedure(절차)
공격자가 목표를 달성하기 위해 사용하는 전술과 기법, 그 세부 과정을 의미한다.
Tactic
공격자가 "무엇을" 하려고 하는지, 공격의 목적
ex) Initial Access, Privilege Escalation
공격 대상에 초기 침투 시작하기 / 시스템 권한 상승 노리기
Technique
공격자가 목적을 이루기 위해서 "어떻게" 하는지
ex) Phishing, Process Injection
피싱 / 프로세스 인젝션
Procedure
실제 공격을 수행하는 "구체적인 실행 방식"
수행하는 쉘 스크립트 등
공격 대상에 침투하려고 초기 접근하려고 함 (Tactic)
→ 피싱을 통해 접근해볼깡 (Technique)
→ 피싱 메일에 악성 링크를 담아 보냄 (Procedure)
공격 대상 시스템에서 어떤 걸 실행하고 싶다 (Tactic)
→ 인터프리터를 사용해서 실행하도록 해야징 (Technique)
→ PowerShell로 스크립트를 실행함 (Procedure)
공격 대상 시스템에서 관리자 권한을 얻고 싶음 (Tactic)
→ 특정 프로세스에 인젝션해서 실행시키장 (Technique)
→ 정상 프로세스에 공격자가 준비한 악성 코드를 주입해서 권한 상승을 이룸 (Procedure)
TTPs가 왜 중요한가?
공격자의 행동을 구조화하고 체계적으로 이해하는 데 도움이 됨
레드팀/블루팀 모두에게 필수적인 개념
공격 그룹 분석 보고서 등에서도 TTPs로 분류해서 분석하는 경우가 많다
TTPs가 나오면 또 이제 절대 빠질 수 없는 아주 중요한 프레임워크
MITRE ATT&CK
https://attack.mitre.org/
공격자들의 최신 공격 기술 정보가 담긴 저장소
실제 공격자가 사용한 악의적 행위에 대해 TTPs로 분석하여 목록화해놓은 표준 데이터
사이트 들어가서 들어가보면 다양한 Tactic들이 있다
Reconnaissance
정찰
: 공격 대상에 대한 정찰을 수행함
조직의 정보, 인프라 등
Resource Development
자원 개발
: 공격에 사용할 리소스를 확보함
C2 서버, 도메인, 계정 등
Initial Access
초기 접근
: 공격 대상에 침입하고자 함
→ 악성 링크가 담긴 피싱 메일을 전송해서 사용자가 클릭하도록 유도한다
Execution
실행
: 공격 대상에서 악성 코드 등을 실행하고자 함
Persistence
지속성
: 시스템 재시작 등에서도 공격 행위의 지속성을 유지하고자 함
→ 작업 스케줄러에 등록하거나, 레지스트리 값을 변경해서 일정 시간 혹은 재부팅마다 실행되도록 한다
Privilege Escalation
권한 상승
: 목표 수행을 위해 더 높은 권한을 얻고자 함.
시스템 권한, 관리자 권한 등
Defense Evasion
방어 회피
: 탐지를 피하고자 함
→ 스크립트 난독화 등을 사용한다
Credential Access
자격 증명 액세스
: 계정 이름, 비밀번호 등의 자격 증명을 훔침
→ 키로깅, 덤핑 등을 사용한다
Discovery
발견
: 시스템 및 내부 네트워크에 대한 정보를 얻고자 함
Lateral Movement
측면 이동
: 내부 네트워크에 침입하여 다른 대상으로 넘어감
Collection
수집
: 다양한 데이터를 수집함
Command and Control
명령 및 제어
: 공격자 C2서버와 통신하고자 함
Exfiltration
유출
: 수집한 데이터를 외부로 전송하여 유출함
Impact
영향
: 공격 대상의 시스템과 데이터를 조작, 파괴함
위와 같은 Tactic을 잘 공부해서 공격의 어떤 단계에서 어떤 행동을 수행하는지 이해하면 좋고...
이런 흐름을 연결해서 하나의 공격 시나리오를 짤 수도 있다
그리고 또 뭐 어떤 내용을 적어야 하는지를 모르겠으니까
여기까쥐~ (*/ω\*)
참고 자료
'보안 > RedTeam' 카테고리의 다른 글
| MITRE Caldera (0) | 2025.03.26 |
|---|---|
| Atomic Red Team (0) | 2025.03.25 |