Threat Hunting

Threat Hunting

 : 네트워크, 엔드포인트 및 데이터 셋을 통한 사전 예방적 보안 검색으로 기존 도구로 탐지되지 않은 악의적이거나 의심스럽거나 위험한 활동을 검색

ex) cyber kill chain.

 

Mitre attack : 실제 사이버 공격을 관찰 후 악의적 행위를 공격 방법과 공격 기술 관점으로 분석 후 목록화 한 데이터

ttp(tactic, technique, procedure)

 

고통의 피라미드

 : 여러가지 유형의 침해 지표로 상위로 갈수록 해커의 입장에서 공격하기 어려움을 나타낸다.

1. Trivial - hash values 

2. easy - IP Address 

3. Simple - DNS

4. Annoying - network/Host Artifacts

5. challenging - tool

6. tough - ttps

 

 

TTP의 Tatics

초기접근 Initial Access

 - 다양한 진입 벡터를 사용하여 네트워크 안에서 초기 거점을 확보하는 기술로 구성

 - 스피어피싱, 웹 취약점을 사용하여 악성코드 유포

 

실행 Execution

로컬 시스템, 원격 시스템에서 악성코드를 실행하는 기술로 구성

 

지속 persistence

 - 공격자가 거점 확보 후 언제든 공격 대상 시스템에 접속하기 위한 기술로 구성

 - 주로 운영체제에서 사용되는 파일을 악의적인 파일로 대체하거나 높은 접근 권한을 갖는 계정을 생성하는 방법으로 사용

 

권한 상승 Privilege Escalation

 - 공격자가 시스템이나 네트워크에서 더 높은 수준의 권한을 획득하기 위한 기술로 구성

 - 시스템 취약점, 구성오류 악의적 파일 삽입.

 

방어 회피 Defense Evasion

 - 공격자가 공격 대상 시스템에 설치된 보안 솔루션의 탐지를 우회하기 위해 사용되는 기술로 구성

 - 보안 sw제거/비활성화 or 데이터 난독화/암호화.

 

자격 증명 접근 Credential Access

 - 계정 이름 및 암호화 같은 Credential Access를 탈취하는 기술로 구성

 - 키로깅, 덤핑

 

탐색 Discovery

 - 시스템 내부 네트워크에 대한 지식을 얻기 위해 상대방이 사용할 수 있는 기술로 구성

 - 공격자가 어떤 행위를 해야 할지 결정하기 전에 환경을 관찰하고 방향을 정하도록 도움

 

내부 확산 Lateral Movement

 - 공격자가 네트워크에서 원격 시스템에 들어가고 제어하는데 사용하는 기술로 구성

 - 주요 목표를 수행하기 위해 네트워크를 탐색 후 정상적인 자격 증명 방법을 통해 증명

 

수집 Collection

 - 공격자가 정보를 수집하는데 사용할 수 있는 기술로 구성

 - 드라이브 유형, 브라우저, 오디오, 비디오 및 이메일

 

명령 및 제어 Command and Control(C2)

 - 공격자가 대상 네트워크 내에서 제어하는 시스템과 사용할 수 있는 기술로 구성

 - 네트워크 보안장비의 탐지를 우회하기 위해 정상적인 트래픽을 모방

 

유출 Exfiltration

 - 공격자가 네트워크에서 데이터를 훔치기 위해 사용할 수 있는 기술로 구성

 - 유출 대상은 시스템에서 특정 확장자/특정 파일명 등을 가진 파일 검색 후 압축 및 암호화를 통해 확보

 

임팩트 Impact

 - 운영 프로세스를 조작하여 공격자가 가용성을 방해하거나 무결성을 손상시키는데 사용하는 기술로 구성

 - 데이터 파괴 또는 변조