ํ๋ ์ฌํ์์ ์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ ๊ธฐ์ , ์ ๋ถ ๊ธฐ๊ด, ๊ฐ์ธ ๋ฑ ๋ชจ๋ ์์ค์์ ํฐ ์ํ์ผ๋ก ์์ฉํ๊ณ ์๋ค. ์ด์ ๋ฐ๋ผ ์ฌ์ด๋ฒ ๋ณด์์ ์ด๋ฌํ ์ํ์ผ๋ก๋ถํฐ ์กฐ์ง๊ณผ ๊ฐ์ธ์ ๋ณดํธํ๊ธฐ ์ํด ์ ์ ๋ ์ค์ํ ์ญํ ์ ํ๊ณ ์๋ค. TTP(Tactic, Technique, Procedure)๋ ์ฌ์ด๋ฒ ๋ณด์ ๋ถ์ผ์์ ์ฌ์ฉ๋๋ ๊ฐ๋ ์ผ๋ก, ๊ณต๊ฒฉ์์ ๊ณต๊ฒฉ ์ ๋ต๊ณผ ๋ฐฉ๋ฒ์ ์ดํดํ๊ณ ๋์ํ๋ ๋ฐ ๋์์ ์ค๋ค.
๐ TTP = Tactic, Technique, Procedure์ ์ ์
๐ Tactic
TTP์ ์ฒซ๋ฒ์งธ ๊ตฌ์ฑ์์๋ก์, ์ ๋ฐ์ ์ธ ๊ณต๊ฒฉ ๋ชฉํ๋ฅผ ๋ํ๋ธ๋ค.
๊ณต๊ฒฉ์๊ฐ ๋ฌ์ฑํ๋ ค๋ ๋ชฉ์ ์ด๋ ๊ฒฐ๊ณผ๋ฅผ ๋ํ๋ด๋ฉฐ, ์๋ฅผ ๋ค์ด "๊ธฐ๋ฐ ์ ๋ณด ์ ์ถ"์ด๋ "์์คํ ๋ง๋น" ๋ฑ์ด ๋ ์ ์๋ค.
๐ Technique
Tactic์ ํ์ ํญ๋ชฉ์ผ๋ก, ๊ตฌ์ฒด์ ์ธ ๊ณต๊ฒฉ ๋ฐฉ๋ฒ์ ๋ํ๋ธ๋ค.
๊ธฐ์ ์ ์ธ ์ธก๋ฉด์์ ์ด๋ค ๋์์ ์ฌ์ฉํ๋์ง๋ฅผ ๋ํ๋ด๋ฉฐ, ์๋ฅผ ๋ค์ด "์ ์ฑ ์ฝ๋ ์ฝ์ ", "ํผ์ฑ ๋ฉ์ผ ์ ์ก" ๋ฑ์ด ๋ ์ ์๋ค.
๐ Procedure
TTP์ ๊ฐ์ฅ ๊ตฌ์ฒด์ ์ธ ๋ถ๋ถ์ผ๋ก, ๊ณต๊ฒฉ์ ์ธ๋ถ ์คํ ๋ฐฉ๋ฒ์ ๋ํ๋ธ๋ค.
์ด ๋จ๊ณ์์๋ ๊ณต๊ฒฉ์๊ฐ ์ด๋ค ์์๋ก ์ด๋ค ๊ธฐ์ ์ ์ฌ์ฉํ๋์ง์ ๋ํ ์ ๋ณด๊ฐ ํฌํจ๋๋ค.
๐ TTP๋ฅผ ์ดํดํด์ผํ๋ ์ด์
TTP๋ฅผ ์ดํดํ๋ ๊ฒ์ ์ฌ์ด๋ฒ ๊ณต๊ฒฉ ๋์ ์ ๋ต์ ๊ตฌ์ถํ๊ณ ๋ณด์์ ๊ฐํํ๋ ๋ฐ ๋งค์ฐ ์ค์ํ๋ค.
ํ๊ตญ์ธํฐ๋ท์งํฅ์์ "TTPs #8 : Operation GWISIN - ๋ง์ถคํ ๋์ฌ์จ์ด ๊ณต๊ฒฉ ์ ๋ต ๋ถ์" ๋ณด๊ณ ์์์๋ ์ฌ์ด๋ฒ ๋ณด์์์ ์ ํํ ๊ฐ๋ ์ธ ๊ณ ํต์ ํผ๋ผ๋ฏธ๋(The Pyramid of Pain)๋ ๋ฐฉ์ด์๊ฐ TTP์ ๊ฐ์ ๊ณต๊ฒฉ์์ ์ ๋ต๊ณผ ์ ์ , ๊ทธ๋ฆฌ๊ณ ๊ทธ ๊ณผ์ ์ ์ดํดํ๊ณ ๋ฐฉ์ด ์ฒด๊ณ๋ฅผ ์ด์ํ๋ ๊ฒ์ด ๊ฐ์ฅ ํจ๊ณผ์ ์์ ์ ํํํ๊ณ ์๋ค๊ณ ๋งํ๋ค. ๊ณ ํต์ ํผ๋ผ๋ฏธ๋์์๋ ๋ณด์์ ๊ณต๊ฒฉ์๋ฅผ Tough!ํ ๋จ๊ณ๋ก ๋๊ณ ๊ฐ๋ ๊ฒ์ด๋ฉฐ, TTP๊ฐ ๊ทธ ๋จ๊ณ๋ฅผ ๋ํ๋ธ๋ค๊ณ ํํํ๋ค.
๊ณ ํต์ ํผ๋ผ๋ฏธ๋์ ๊ฐ ๋ ๋ฒจ์ ์๋๋ฐฉ์ ํ๋์ ํ์งํ๋ ๋ฐ ์ฌ์ฉํ ์ ์๋ ๋ค์ํ ์ ํ์ ๊ณต๊ฒฉ ์งํ๋ฅผ ๋ํ๋ด๋ฉฐ, ์ด๋ฌํ ์งํ๋ฅผ denyํ ์ ์์ ๋ ๊ณต๊ฒฉ์์๊ฒ ์ผ๋ง๋ ํฐ ๊ณ ํต์ ์ฃผ๋์ง์ ๋ฐ๋ผ ์ธ๋ถํ ๋์ด ์๋ค. ํผ๋ผ๋ฏธ๋์์ ๊ฐ์ฅ ์ค์ํ ๋จ๊ณ๋ ๊ณต๊ฒฉ์์ TTP์ด๋ค. ๋ฐฉ์ด์๊ฐ ํ์ผ ํด์๋ IP ์ฃผ์์ ๊ฐ์ ๊ธฐ๋ณธ Artifact์ ๋นํด ๊ณต๊ฒฉ์์ ํ๋์ ํ์งํ๊ฑฐ๋ ๋ฐฉํดํ ์ ์๋ค๋ฉด ๊ณต๊ฒฉ์๋ ๊ณต๊ฒฉ ๊ฒฝ๋ก๋ฅผ ์ ํํด์ผํ๋ฏ๋ก ๋ ๋ง์ ๋น์ฉ๊ณผ ๊ณ ํต์ด ๋ฐ๋ฅธ๋ค.
๐ Hash Values
์์ฌ์ค๋ฌ์ด ํน์ ํ์ผ ๋๋ ์ ์ฑ ํ์ผ์ ๋์ํ๋ SHA1, MD5, ๋๋ ๋ค๋ฅธ ์ ์ฌํ ํด์.
ํด์ ๊ฐ์ ์ข ์ข malware์ ํน์ ์ํ ๋๋ ์นจ์ ์ ๊ด์ฌ๋ ํ์ผ์ ๋ํ ๊ณ ์ ํ ์ฐธ์กฐ๋ฅผ ์ ๊ณตํ๊ธฐ ์ํด ์ฌ์ฉ๋๋ค.
๐ IP Addresses
์ด๋ฆ์์ ์ ์ ์๋ฏ์ด ๋ท๋ธ๋ก๋ ํฌํจ๋์ด ์๋ค.
๐ Domain names
๋๋ฉ์ธ ์ด๋ฆ ๋๋ ํ์ ๋๋ฉ์ธ.
๐ Network Artifacts
๊ด์ฐฐ ๊ฐ๋ฅํ ์ ๋์์ ๋คํธ์ํฌ ํ๋.
๋ํ์ ์ธ ์๋ก๋ URI ํจํด, ๋คํธ์ํฌ ํ๋กํ ์ฝ์ ๋ด์ฅ๋ C2 ์ ๋ณด, ๊ณ ์ ์ HTTP User-Agent ๋๋ SMTP Mailer ๊ฐ ๋ฑ์ด ์๋ค.
๐ Host Artifacts
๋ ์ง์คํธ๋ฆฌ ํค ๋๋ ํน์ malware, ํ์ผ ๋๋ ๋๋ ํ ๋ฆฌ์ ์ํด ์์ฑ๋ ๊ฒ์ผ๋ก ์๋ ค์ง ๊ฐ๊ณผ ๊ฐ์ ํธ์คํธ ์ค ํ๋ ์ด์์ ์ฌ๋ ํ๋์ผ๋ก ์ธํด ๋ฐ์ํ๋ ๊ด์ฐฐ ๊ฐ๋ฅ์ฑ์ด๋ค.
๐ Tools
๊ณต๊ฒฉ์๊ฐ ์์ ์ ์๋ฌด๋ฅผ ์์ํ๊ธฐ ์ํด ์ฌ์ฉํ๋ ์ํํธ์จ์ด.
์ฌ๊ธฐ์๋ ์คํผ์ดํผ์ฑ์ ์ํ ์ ์ฑ ๋ฌธ์๋ฅผ ์์ฑํ๋๋ก ์ค๊ณ๋ ์ ํธ๋ฆฌํฐ, C2 ๋๋ ์ํธ ํฌ๋์ปค๋ฅผ ์ค์ ํ๋ ๋ฐ ์ฌ์ฉ๋๋ ๋ฐฑ๋์ด ๋๋ ๊ธฐํ ํธ์คํธ ๊ธฐ๋ฐ ์ ํธ๋ฆฌํฐ๊ฐ ํฌํจ๋๋ค.
๐ TTPs
์ ์ฐฐ์์ ๋ฐ์ดํฐ ์ ์ถ๊น์ง, ๊ทธ๋ฆฌ๊ณ ๊ทธ ์ฌ์ด์ ๋ชจ๋ ๋จ๊ณ์์ ์๋๋ฐฉ์ด ์๋ฌด๋ฅผ ์์ํ๋ ๋ฐฉ๋ฒ.
ํ๊ตญ์ธํฐ๋ท์งํฅ์ ๋ณด๊ณ ์์ ๋ฐ๋ฅด๋ฉด ๊ณต๊ฒฉ์๋ TTP๋ฅผ ์ฝ๊ฒ ํ๋ณดํ๊ฑฐ๋ ๋ฒ๋ฆด ์ ์๋ค๊ณ ๋งํ๋ค. ๊ณต๊ฒฉ์๋ ์ ํด์ง ํ๊น์ ๋ฐฉ์ด ํ๊ฒฝ์ ๋ฌด๋ ฅํ์ํค๊ธฐ ์ํด ํน์ TTP๋ฅผ ํ์ตํ๊ณ ์ฐ์ตํ๊ณ , ํ๋ณดํ TTP๋ ์ง์์ ์ผ๋ก ๋ค๋ฅธ ํ๊น๋ค์๊ฒ ์ฌ์ฉํ๋ค.
TTP ์ดํด์ ํ์์ฑ์ ๋ํด ์์ฝํ์๋ฉด ๋ค์๊ณผ ๊ฐ๋ค.
โ ์ํ ์ธ์
TTP๋ฅผ ๋ถ์ํจ์ผ๋ก์จ ์ด๋ค ์ข ๋ฅ์ ๊ณต๊ฒฉ์ด ๊ฐ๋ฅํ์ง, ์ด๋ค ๋ฐฉ๋ฒ์ผ๋ก ์งํ๋ ์ ์๋์ง์ ๋ํ ์ธ์์ ๊ฐ๊ฒ ๋๋ค. ์ด๋ฅผ ํตํด ์กฐ์ง์ ๋ ๋ค์ํ ์ํ ์๋๋ฆฌ์ค๋ฅผ ๊ณ ๋ คํ๊ณ ๋๋นํ ์ ์๋ค.
โ ๋์ ๊ณํ ์๋ฆฝ
TTP๋ฅผ ์ดํดํ๋ฉด ๊ณต๊ฒฉ์์ ํ๋์ ์์ธกํ๊ณ ์ฌ์ ์ ๋์ ๊ณํ์ ์๋ฆฝํ ์ ์๋ค. ํน์ TTP๊ฐ ํ์ง๋์์ ๋ ์ด๋ค ์กฐ์น๋ฅผ ์ทจํ ์ง ์ฌ์ ์ ๊ฒฐ์ ํ์ฌ ๋์ ์๋๋ฅผ ํฅ์์ํฌ ์ ์๋ค.
โ ํ์ง ๋ฐ ๋ถ์
TTP๋ฅผ ๋ถ์ํ์ฌ ์ด์ ์ ๊ด์ฐฐ๋ ์ฌ๋ก๋ ํจํด๊ณผ ๋น๊ตํ๋ฉด ์๋ก์ด ๊ณต๊ฒฉ์ ์กฐ๊ธฐ์ ํ์งํ ์ ์๋ค. ์ด๋ ๊ณต๊ฒฉ์ ์ํฅ์ ์ตํธํํ๊ณ ์กฐ์ง์ ์์คํ ์ ๋ณดํธํ๋ ๋ฐ ๋์์ด ๋๋ค.
TTP(Tactic, Technique, Procedure)๋ ์ฌ์ด๋ฒ ๋ณด์ ๋ถ์ผ์์ ๊ณต๊ฒฉ์์ ๊ณต๊ฒฉ ์ ๋ต๊ณผ ๋ฐฉ๋ฒ์ ์ดํดํ๊ณ ๋์ํ๋ ๋ฐ ์ค์ํ ๊ฐ๋ ์ด๋ค. ์ด๋ฅผ ํตํด ์กฐ์ง๊ณผ ๊ฐ์ธ์ ๋ณด๋ค ํจ๊ณผ์ ์ธ ๋ณด์ ์ ๋ต์ ๊ตฌ์ถํ๊ณ ์ฌ์ด๋ฒ ๊ณต๊ฒฉ์ผ๋ก๋ถํฐ ์์ ์ ์ ์งํ ์ ์๋ค. TTP ๋ถ์์ ํตํด ์๋ก์ด ์ํ์ ๋๋นํ๊ณ ์กฐ๊ธฐ์ ๋์ํ๋ ๋ฅ๋ ฅ์ ํฅ์์ํค๋ ๊ฒ์ด ํต์ฌ์ด๋ค.
Reference
https://www.dailysecu.com/news/articleView.html?idxno=118487https://thorcert.notion.site/TTPs-8-Operation-GWISIN-c3483353d20241b3a313fa4a8726302a
https://www.attackiq.com/glossary/pyramid-of-pain/
https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
'๐ Security > ๋ณด์ ๊ฐ๋ ' ์นดํ ๊ณ ๋ฆฌ์ ๋ค๋ฅธ ๊ธ
์ฌ์ด๋ฒ ์ธ์์์ ๋ณด์๊ณผ ๋ณดํธ: ์ฐจ์ด์ ๊ณผ ์ค์์ฑ (0) | 2024.06.14 |
---|---|
์ ๋ณด ๋ณด์์ 3์์ : ๊ธฐ๋ฐ์ฑ, ๋ฌด๊ฒฐ์ฑ, ๊ฐ์ฉ์ฑ (0) | 2024.05.09 |