MITRE ATT&CK 프레임워크 - IOCs(Indicator Of Compromise), TTPs

IOCs(Indicator Of Compromise) 침해지표

• 시스템이 악의적인 활동에 의해 침해되었을 가능성이 높음을 나타내는, 침해사고 분석에 사용되는 네트워크 혹은 운영체제의 아티팩트
• 특정 위협이나 공격의 발생의 판단을 위한 시그너처로 활
• 주로 사용되는 정보에는 해시값, 파일 이름 및 경로, C2 도메인, IP 주소, URL, 레지스트리 키 등
• IOC 예시: 네트워크 트래픽 비정상, 비정상 로그인 시도, 동일한 파일에 다수의 접근 시도, 수상한 DNS 요청

 

IOCs 식별 및 대응 방법

디지털 공격 징후는 로그 파일에 기록되고 주기적으로 디지털 시스템의 수상한 활동을 모니터링한다. SIEM, XDR 솔루션이 이런 과정을 AI, ML로 프로세스화하고 비정상징후 경고알림을 생성하기도 한다. 보안팀에서 IOC를 탐지하면 피해를 최소화하기 위해 효과적으로 대응해야 한다. 

 

• 침해사고 대응 계획 수립: 침해사고 정의, 역할, 해결 프로세스 등
• 손상된 시스템과 디바이스 격리: 다른 디바이스까지 피해가 번지는것을 방지
• 포렌식 분석: 공격으로부터 회복한 후, 포렌식 분석을 통해 잠재적 취약점과 피해 상황을 분석
• 보안·프로세스 개선:공격의 원인과 방지 대책 수립, 장기적인 솔루션을 세움

 

TTPs(Tactics, Techniques&Procedures)

보안분석에서 관찰하는 시스템 아티팩트나 행동 속성을 나타내는 지표

허가받지 않은 활동이나 사용자가 차단/시도될때를 나타내는데 네트워크 변경, 민감한 리소스 접근, 외부 서버로 데이터 전송 등의 활동은 보안 위험이 있다는것을 알 수 있다. 

 

 

• Tactics: 목표 달성을 위해 공격자가 사용하는 행동과 전략(Recon, 취약점 이용)
• Techniques: 행위 실현을 위한 비특정 지침과 중간 방법(네트워크 침투, 맬웨어 확산 )
• Procedures: Tactics과 Technique이 함께 실행되는 방법과 절차

 

TTPs의 예시

Tactics	Technique	Procedure
Initial Access	첨부파일을 이용한 스피어 피싱	1. 악성 스크립트 삽입된 워드 파일을 이메일에 첨부 2. 피해자가 파일을 열면 스크립트가 실행됨 3. HTTP 이용하여 악성코드를 다운로드받아 실행