MITRE ATT&CK 프레임워크 - Lateral Movement

MITRE ATT&CK이란

실제 공격 사례들을 특성, 기법, 절차 목표, 위험성 등을 기준으로 분류하여 정리한 지식 정리본이다. 해당 기술 자료를 활용해서 인프라의 보안 상태를 확인하고 threat modelling 방법론을 개발하기도 한다. Microsoft Sentinel에서 MIRE 페이지가 있어서 프레임워크를 확인하고 활성화된 분석 규칙을 활용할 수 있다.

 

https://www.fortinet.com/kr/resources/cyberglossary/mitre-attck

Mitre Att&CK 프레임워크란 무엇이며 어떻게 유용합니까? | 포티넷

 

 

공격 취약점 중심으로의 방어 전략 이동

기존의 방어전략은 위협을 차단/보호하는 차단 중심의 방식이었고 접근 통제 같은 보안 메커니즘 제어를 사용했다. 그러나 이런 방식으로는 모든 위협을 완벽하게 대처하기 어렵고 침해사고가 발생했음. 

→ 이를 개선하기 위해 취약점을 사전에 탐지하는 방식을 도입했다

→ 차단 및 보호 매커니즘을 우회해서 내부망에 침투하는 전략 개발

 

탐지의 중요성

 

 

• 시스템에 침투하기 위해서는 정보 수집을 통해 내부망 환경 파악을 해야 한다
• Lateral movement으로 최종 목표 시스템에 도달하기까지는 시간이 소요됨
• 침투를 완전히 차단하는데 실패해도 피해발생 이전에 위협을 제거할 수 있다

 

Lateral Movement

공격자가 진입점에서 액세스를 한 후 네트워크의 다른 부분까지 공격을 확산하기 위해 더 깊이 침투하는 공격방식이다. 가치가 높은 자산과 중요한 데이터를 찾는 것을 목표로 하며, 손상된 환경에 더 깊이 침입해서 권한 상승 방법을 사용하기도 한다. 네트워크 환경에 맞춰서 방법을 조정하고 대책에 대응해야 하기 때문에 수동으로 진행하는 경우가 많다.

피싱, 맬웨어 공격등을 통해 엔드포인트에 액세스 하게 되면, 공격자는 합법적인 사용자를 사칭하여 목표 달성까지 네트워크의 시스템 내부에서 계속 이동함.

 

Lateral Movement의 과정

 

1. Reconnaissance: 네트워크 내부 장치에서 액세스 할 수 있는 항목, 권한 등 최대한 많은 정보를 수집
2. Privilege gathering: IAM에서 권한 상승이 실수로 발생/ Keylogger로 다른 사용자의 권한을 탈취 → 권한 극대화 목
3. System takeover: 획득한 권한을 사용해서 맬웨어나 추가 공격을 해서 네트워크를 제어하게 된다

 

DWELL Time

 

 

공격자가 내부망 침투 성공한 후 탐지되지까지 소요된 잠복기간을 의미한다.

해마다 줄어들고 있으며 2020년에는 24일 정도이다. 차단과 방어만큼 사전 탐지가 중요하다는 걸 알 수 있다

 

 

https://www.cloudflare.com/ko-kr/learning/security/glossary/what-is-lateral-movement/