1. Cyber kill chain이란?
킬 체인 은 록히드 마틴이 2011년에 개발한 프레임워크로, 공격자의 공격 방식을 모델링하는 데 사용된다. 프레임워크 내에서 공격자의 행동과 전체 사이버 공격 과정은 순차적으로 진행되는 7단계로 구성된다.
왜 중요한가?
킬 체인은 SOC 분석가가 사이버 공격의 단계를 더 잘 이해하고 공격이 시작되는 시점과 이후의 단계를 파악하는 데 중요하다.
2. Cyber kill chain 단계
사이버 공격이 성공하기 전에 공격자가 취할 수 있는 행동은 여러 가지가 있다. 이 단계는 공격자가 한 단계를 실패하면 다음 단계의 공격을 실행할 수 없습니다.
- RECONNAISSANCE
- WEAPONIZATION
- DELIVERY
- EXPLOITATION
- INSTALLTION
- COMMAND & CONTROL
- ACTIONS ON OBJECTIVES
3. RECONNAISSANCE
“RECONNAISSANCE”는 정찰 단계로 시작됩니다. 공격자는 이 단계에서 목표 시스템에 대한 정보를 얻으려고 시도합니다.
- 수동 정찰 : 직접 접촉하지 않고 대상 시스템에 대한 정보를 수집하는 것을 의미합니다. 예를 들어, 웹 아케이브 웹사이트를 이용하면 대상 시스템 사이트에서 더 이상 제공되지 않는 정보를 얻을 수 있습니다.
- 능동 정찰 : 직접 상호 작용하여 해당 시스템에 대한 정보를 획득하는 방법을 말한다. 예를 들어 웹 서버에 요청을 제출하면 응답으로부터 웹 서버의 버전 정보를 얻을 수 있습니다.
공격자
공격자는 “정찰”과정에서 다양한 접근 방식을 사용하여 여러 출처로부터 정보를 수집합니다.
- 소프트웨어 버전 정보 획득
- 대상에 대한 공개 정보 출처에서 정보를 얻는 방법은 이미 공개되었습니다.
- 조직 구성원의 이메일 주소 확보
- 소셜 네트워킹 플랫폼을 이용하여 조직 구성원에 대한 내부 정보 또는 개인 정보를 획득하는 행위
- 인터넷에 연결된 장치 감지
- 인터넷에 공개된 서버의 보안 취약점 탐지
- 해당 조직에 속한 IP 주소 블록을 식별합니다.
- 조직이 협력하는 공급업체 식별
방어자
블루팀은 해당 단계에서 공격자의 시도에 대응하여 조치를 취할 수 있다.
- 외부 침투 테스트를 통한 정보 유출 영역 탐지
- 위협 인텔리전스 소스로부터 조직에 대한 유출 정보를 입수합니다.
- 조직 정보를 제공하는 문서를 인터넷에 공개하지 않는 것
- 회사 내 인터넷 접근 가능 영역에 방화벽과 같은 보안 솔루션을 설치하여 트래픽을 모니터링합니다.
- 새로운 보안 취약점이 악용되는 것을 방지하기 위해 즉시 업데이트합니다.
4. Weaponization
해당 단계에서는 앞 단계에서 얻은 정보를 바탕으로 도구/스크립트를 직접 개발하는 단계입니다. 피싱 공격의 경우 회사가 어떤 프로세스를 통해서 메일을 작성하고 있는지 보고 보낸다던가, 어떤 취약점이 있는지 보고 해당 취약점에 맞는 악성 스크립트를 파일을 만든다던가 와 같이 취약점에 따랏 다르게 준비됩니다.
공격자
- 악성 소프트웨어 제작
- 익스플로잇 개발
- 피싱 시도에 사용할 악성 콘텐츠(예: 이메일 템플릿 및 악성 문서)를 제작하는 행위.
- 사이버 공격에 가장 적합한 도구를 식별하기
방어자
- 정기적으로 시스템을 점검하여 발견된 보안 취약점이 있는지 확인합니다.
- 기관 시스템에 대한 보안 업데이트를 최대한 빨리 설치합니다.
- 알려진 또는 새롭게 개발된 사이버 공격 도구를 추적하여 시스템에 미치는 영향을 분석하고, 해당 도구가 사용되는 시점을 탐지할 수 있도록 합니다.
5. Delivery
해당 단계에서는 Weaponization 단계에서 준비한 사이버 공격을 실행하는 단계입니다. 이때는 악성코드가 적절한 환경에 업로드되고, 피해자는 업로드된 환경에서 악성코드를 자신의 시스템으로 다운로드합니다.
공격자
다양한 방법을 통해 피해자에게 여러 가지 사이버 무기를 전달할 수 있습니다.
- 이메일을 통해 악성 URL을 전송하는 행위
- 이메일 첨부 파일로 악성 소프트웨어를 유포하는 행위
- 웹사이트를 통한 악성코드 유포
- 소셜 미디어를 통해 악성 URL을 전달합니다.
- 소셜 미디어를 통한 악성코드 유포
- (서버에 직접 접근이 가능한 경우) 악성코드를 대상 서버에 직접 업로드하는 방법
- USB 장치를 통해 대상 시스템에 악성 소프트웨어를 직접 물리적으로 설치하거나 설치를 허용하는 행위
방어자
블루팀과 개인의 경우 예방 조치를 취할 수 있습니다
- 이메일 내용에 포함된 URL에 대해 회의적인 태도를 취하고 샌드박스 환경에서 확인하는 것이 좋습니다.
- 바이러스 백신 소프트웨어를 사용하여 이메일 첨부 파일을 검사합니다.
- 조직에서 이메일 보안 솔루션 제품 사용하기
- 사용자/기관 직원이 정보 보안 교육을 받을 수 있도록 보장합니다.
- 서버 접근에 대한 지속적인 모니터링 및 로그 기록
- 방화벽과 같은 보안 솔루션의 효과적인 사용 및 관리
- 필요에 따라 의심스러운 활동에 대한 상세 분석을 수행합니다.
- 이상 징후를 감지하고 근본 원인을 파악합니다.
6. Exploitation
익스플로잇 단계는 피해자에게 제공한 악성 콘텐츠가 활성화되는 단계이다. 해당 단계에서 악성코드를 실행하지 못할 경우 이후 단계또한 이뤄지기 힘들어 질수 있다.
공격자
- 하드웨어 취약점을 악용하는 익스플로잇을 실행합니다.
- 소프트웨어 또는 운영 체제의 취약점을 악용하는 익스플로잇을 실행하는 것
- 악성 프로그램을 실행 중입니다.
방어자
- 조직 구성원들에게 시스템에 업로드된 파일을 언제 열어봐야 하고 언제 열어볼 필요가 없는지, 그리고 어떤 사항을 고려해야 하는지에 대한 교육을 실시합니다.
- 조직 소유 자산에 대한 시스템 보안 운영을 지속적으로 모니터링하고 이상 징후를 감지합니다.
- 조직 자산에 대해 공개된 보안 취약점을 추적하고, 적절한 모니터링 규칙을 작성하며, 해당 취약점이 악용될 경우 이를 탐지합니다.
- 조직 소유 자산에 대한 보안 업데이트를 확인하고 즉시 설치합니다.
- EDR 제품을 사용한 엔드포인트 모니터링 활동
- 자체 개발 애플리케이션의 보안 취약점을 예방하기 위해 소프트웨어 개발자에게 안전한 코딩 교육을 제공합니다.
- 조직 자산에 대한 침투 테스트를 정기적으로 실시합니다.
- 정기적인 자동화된 취약점 스캔 및 모니터링 보고서
- 기관 소유 자산에 대한 권한을 정리하고 각 계정에 필요한 권한을 부여합니다.
7. Installation
설치 단계는 시스템 장악이후 지속적인 구너한 확보를 위하여 시도하는 단계입니다. 공격자는 시스템에 백도어를 설치하여, 언제든지 접근할 수 있도록 경로를 확보합니다. 이후 공격자는 시스템의 지속성을 확보하기 위하여 권한 상승 전략을 통해 시스템 내 높은 권한을 가진 사용자 계정에 접근하려고 할 수 있습니다.
공격자
공격자는 지속적으로 타깃에 접속하여 여러 작업이 가능하도록 하는 것이 중요합니다. 이 과정에서 보안 제품에 작업을 방해하지 않도록 해야 합니다.
- 피해자의 기기에 악성 소프트웨어를 설치
- 시스템에 백도어 설치
- 웹 서버의 경우, 웹 서버에 웹 셸을 설치
- 지속성을 위한 서비스, 방화벽 혹은 예약된 규칙 작업을 추가
방어자
블루팀이 해당 단계에서는 공격자를 상대로 수행하는 작업은 위협 탐지 작업입니다. 위 경우 공격자가 시스템에서 악의적인 활동을 수행하더라도 그 사실은 공격자를 탐자할 수 없다는 것입니다. 다라서 모든 SOC팀은 시스템에 항상 공격자가 존재한다는 가정하에 관리하고 실행하야 합니다.
- 조직의 모든 자산에 대한 네트워크 보안 모니터링 작업
- EDR 보안 솔루션을 사용하여 각 엔드포인트에 적용된 구성 변경 사항을 파악
- 시스템의 중요 파일에 대한 접근을 제한하고 접근을 모니터링
- 시스템의 중요 경로에 대한 접근을 제한하고 접근을 모니터링
- 시스템 사용자에 대한 권한 부여 체계를 마련하여 필수적인 상황에서만 관리자 권한을 사용
- 시스템에서 실행 중인 프로세스를 모니터링하여 악성 프로세스 활동을 탐지
- 유효한 서명이 있는 실행 파일만 시스템에서 실행되도록 허용
- 모니터링 대상 시스템의 모든 활동에서 이상 징후를 감지하고 근본 원인을 파악