MITRE ATT&CK Map

6개 주요 전술 카테고리를 포함합니다: 초기접근(피싱, 공개 앱 악용, 원격 서비스, 공급망 공격), 실행(명령 스크립팅, 사용자 실행, 예약 작업, WMI), 지속성(부팅 자동실행, 시스템 서비스, 계정 조작, 계정 생성), 권한상승(커널 익스플로잇, UAC 우회, 토큰 조작), 방어회피(난독화, 프로세스 인젝션, 방어 비활성화, 흔적 제거), 수집(로컬 데이터, 입력 캡처, 화면 캡처, 자동 수집, 데이터 스테이징).

관찰된 기법이나 지표로 검색하세요. 예를 들어, 의심스러운 바이너리를 실행하는 예약 작업을 발견하면 T1053(예약 작업)을 찾아 서브기법(T1053.003 Cron, T1053.005 Windows 예약 작업)을 확인하고, 탐지 방법(작업 모니터링)을 검토하며, 공격자가 함께 사용했을 수 있는 관련 지속성/실행 기법을 확인하세요. 각 항목은 포렌식 분석 시 찾아야 할 구체적인 명령과 아티팩트를 제공합니다.

T1566.001은 첨부파일 피싱으로, 악성 문서(.docm, .xlsm 매크로 파일)를 이메일 첨부로 전송합니다. T1566.002는 링크 피싱으로, 이메일 본문에 자격증명 수집 페이지나 악성코드 다운로드로 리디렉트하는 악성 URL을 포함합니다. T1566.003은 Slack이나 Teams 같은 메신저를 통한 피싱입니다. 각각 다른 탐지 방법이 필요합니다: 첨부파일에는 샌드박스 분석, 링크에는 URL 필터링이 적합합니다.

프로세스 인젝션 기법에는 DLL 인젝션(T1055.001), 스레드 실행 하이재킹(T1055.003), 비동기 프로시저 호출(T1055.004), 프로세스 할로잉(T1055.012)이 포함됩니다. 주요 탐지는 Sysmon EventID 8(CreateRemoteThread)과 EventID 10(ProcessAccess)에 의존합니다. 예상치 못한 크로스 프로세스 메모리 접근, CreateRemoteThread API 호출, 이미지 경로와 메모리 내 코드가 불일치하는 프로세스를 모니터링하세요.

4가지 초기접근 기법 중 T1566 피싱(가장 흔한 벡터), T1190 공개 앱 악용(Log4Shell, ProxyShell), T1133 외부 원격 서비스(VPN/RDP 침해), T1195 공급망 공격(SolarWinds, 3CX)을 다룹니다. T1566에는 이메일 필터링과 샌드박스를, T1190에는 WAF와 패치 관리를, T1133에는 MFA 적용을, T1195에는 소프트웨어 무결성 검증을 우선 적용하세요.

4가지 지속성 기법을 다룹니다: T1547 부팅/로그온 자동실행(레지스트리 Run 키, Winlogon 헬퍼, 바로가기 수정), T1543 시스템 서비스 생성/수정(Linux systemd, Windows sc create), T1098 계정 조작(관리자 그룹 추가, SSH 키 주입), T1136 계정 생성(net user로 로컬 계정, New-ADUser로 도메인 계정). 탐지에는 Autoruns 모니터링, 서비스 변경 감사 로그, 계정 생성 이벤트(EventID 4720), SSH authorized_keys 파일 모니터링이 필요합니다.

핵심 방어회피 기법으로 T1027 파일 난독화(바이너리 패딩, UPX 패킹, 인코딩 페이로드), T1055 프로세스 인젝션(DLL 인젝션, 프로세스 할로잉), T1562 방어 비활성화(Set-MpPreference로 AV 중지, 감사 로그 중지, 방화벽 해제), T1070 흔적 제거(wevtutil로 이벤트 로그 삭제, history -c로 명령 기록 삭제)가 있습니다. 패킹 파일에는 엔트로피 분석, 인젝션에는 Sysmon, 보안 도구에는 변조 방지, 로그 파괴 방지에는 중앙 집중 로그 수집을 적용하세요.

네, 각 기법에 실제 공격 명령(PowerShell, cmd, bash)과 서브기법 변형이 포함되어 레드 팀 계획 수립에 유용합니다. 침투 테스트 시 기법 ID를 사용해 테스트 범위를 ATT&CK 매트릭스에 매핑하고, 각 전술 단계의 탐지 역량을 테스트하며, 표준화된 ATT&CK 기법 ID로 발견 사항을 문서화하여 블루 팀 및 이해관계자와 명확하게 소통하세요.