MITRE ATT&CK Cloud Matrix
Cloud Matrix는 11개의 전술과 56개의 기술로 구성된다.
Initial Access
설명
네트워크 내에서 초기 발판을 얻기 위해 공격자들이 사용하는 공격 벡터
공격 기술
1. Phishing (T1566)
2. Valid Accounts (T1078)
Execution
설명
로컬/원격 시스템에서 공격자가 만든 코드를 실행하는 기술
공격 기술
1. User Execution (T1204)
SNS를 통한 악성 문서 파일/링크 여는 등 사용자의 특정 행동에 의존하여 공격자가 실행을 얻는 기법
2. 악성 이미지 실행 (T1204.003)
이미지에 백도어를 삽입하여 멀웨어를 실행시킨다.
Persistence
설명
- 시스템에 대한 접근, 조치, 구성 변경을 이용하여 지속적으로 존재하는 공격
- 시스템 재시작, 접근 실패 등으로 인한 시스템 재접근이 가능하도록 재실행 또는 백도어로 대체
공격 기술
1. Account Manipulation (T1098)
- 공격자는 피해자 시스템에 대한 Access를 유지하기 위해 계정 조작할 수 있다.
1-1. 추가 클라우드 자격증명 (T1098.001)
- 공격자는 클라우드 계정에 공격자가 제어하는 자격 증명을 추가하여 환경 내의 피해자 계정 및 인스턴스에 대한 지속적인 액세스를 유지할 수 있다.
1-2. 추가 이메일 대리인 권한 (T1098.002)
- 공격자는 공격자가 제어하는 이메일 계정에 대한 지속적인 액세스를 유지하기 위해 환경 내의 피해자 계정 및 인승턴스에 대한 지속적인 액세스를 유지할 수 있다.
1-3. 추가 클라우드 역할 (T1098.003)
- 공격자는 테넌트(프로젝트)에 대한 지속적인 액세스를 유지하기 위해 공격자가 제어하는 클라우드 계정에 역할이나 권한을 추가한다.
- 클라우드 기반 환경에서 IAM 정책 업데이트 등
1-4. SSH 인증키 (T1098.004)
- 공격자는 피해자 호스트에서 지속성을 유지하기 위해 authorized_keys SSH 파일을 수정할 수 있다.
- 클라우드 환경에서 공격자는 CLI 인터페이스 또는 나머지 API를 통해 특정 가상머신의 SSH authorized_keys 파일을 수정할 수 있다.
1-5. 장치 등록 (T1098.005)
- 공격자는 공격자가 제어하는 계정, MFA(다단계 인증 시스템), 장치 관리 시스템 등에 장치를 등록할 수 있다.
2. Creat Account (T1136)
2-1. 클라우드 계정 생성 (T1136.003)
3. Office Application Setup (T1137)
- 공격자는 지속성을 위해 Microsoft Office 기반 어플리케이션을 활용할 수 있다.
- Office 기반 응용 프로그램들이 시작될 때 지속성을 위해 Office와 함께 사용할 수 있는 여러 매커니즘이 있으며, 여기에는 Office 템플릿 매크로 및 추가 기능의 사용이 포함될 수 있다.
4. Valid Accounts (T1078)
- 기존 계정의 자격 증명을 획득하고 남용
Privilege Escalation (권한 상승)
설명
- 공격자가 시스템이나 네트워크에서 더 높은 수준의 사용 권한을 얻는 공격
- 주로 시스템의 약점을 이용하여 로컬 관리자 또는 시스템의 권한을 얻는다.
공격 기술
1. Domain Policy Modification (T1484)
- 도메인 구성 설정을 변경
1-1. 도메인 트러스트 수정 (T1484.001)
- 새로운 도메인 트러스트를 추가하거나 기존 도메인 트러스트의 속성을 수정하여 방어를 회피하거나 권한을 높일 수 있다.
Defense Evasion (방어 회피)
설명
시스템의 탐지/차단을 회피하거나 방어를 우회하는 공격
공격 기술
1. Modify Cloud Compute Infrastructure (T1578)
1-1. 클라우드 인스턴스 생성 (T1578-002)
- 새 인스턴스 또는 가상 머신을 생성
Credential Access (자격 증명 접근)
공격 기술
1. Steal Application Access Token (T1528)
- 승인된 API 요청을 수행하는 데 사용되는 어플리케이션 엑세스 토큰을 탈취하여 사용자의 권한으로 데이터에 엑세스하고 자원에 접근한다.
Discovery
설명
- 공격자가 시스템에 대한 지식을 얻을 수 있는 기술
- 시스템 내에 있는 자산의 가치를 파악하고 목표 방향을 잡을 수 있는 도움을 제공
공격 기술
1. Cloud Infrastructure Discovery (T1580)
- IaaS 환경에서 사용할 수 있는 인프라와 리소스를 검색
2. Cloud Service Dashboard (T1538)
- 대시보드 GUI를 사용하여 특정 서비스, 리소스 및 기능과 같은 운영 클라우드 환경에서 유용한 정보를 확인
3. Cloud Service Discovery (T1526)
- 엑세스 권한을 얻은 후 실행 중인 클라우드 서비스 리스트 정보 추출
Lateral Movement (측면 이동)
설명
- 원격 접속 도구 없이 원격에 위치한 시스템의 네트워크를 이동하여 공격 또는 탐색하는 기술
공격 기술
1. Internal Spearphishing (T1534)
- 공격자는 내부 스피어피싱을 사용하여 추가 정보에 대한 엑세스 권한을 얻거나 해당 환경 내의 계정 또는 시스템에 이미 액세스 권한이 있는 동일한 조직 내의 다른 사용자를 악용할 수 있다.
Collection (수집)
공격 기술
1. Data from Cloud Storage Object (T1530)
- 부적절하게 보안된 클라우드 스토리지에서 데이터 개체에 엑세스할 수 있다.
Exfiltration (유출)
공격 기술
1. Transfer Data to Cloud Account (T1537)
- 공격자는 동일한 서비스를 제어하는 서로 다른 클라우드 계정으로 데이터를 전송하여 유출한다.
Impact (영향)
공격 기술
1. Account Access Removal (T1531)
- 공격자는 합법적인 사용자가 사용하는 계정에 대한 엑세스를 금지하여 시스템 및 네트워크 리소스의 가용성을 침해할 수 있다.
2. Data Destruction (T1485)
- 공격자는 합법적인 사용자가 사용하는 계정에 대한 가용성을 침해하기 위해 특정 시스템 또는 네트워크의 많은 데이터와 파일을 파괴할 수 있다.
'보안 > 인프라 보안' 카테고리의 다른 글
| 클라우드 주요 보안 위협 (0) | 2023.04.26 |
|---|---|
| [pfSense] 포트 포워딩 실습 (0) | 2023.04.15 |
| [pfSense] 네트워크 방화벽 구성 실습 (0) | 2023.04.15 |
