서론: ATT&CK Matrix-Persistence이란?
ATT&CK Matrix-Persistence는 보안 전문가들이 공격에 대비하고 대응할 수 있는 방법을 제시하는 ATT&CK(Matrix for Adversary Techniques, Tactics, and Common Knowledge)의 일부분입니다. 이는 공격자가 시스템에 영구적인 접근을 유지하기 위해 사용하는 다양한 기술들을 분류하고 설명합니다. Persistence은 공격자가 한 번 시스템에 침투한 후에도 지속적으로 제어를 유지하기 위해 사용되는 기술들을 지칭합니다. 예를 들어, 계정 조작, 부팅 시 자동 실행 프로그램, 스크립트 삽입, 백도어 설치 등이 여기에 포함됩니다. 이러한 기술들은 공격자가 탐지되지 않고 오랫동안 시스템에 남아있을 수 있도록 돕습니다. ATT&CK Matrix-Persistence는 이러한 기술들을 이해하고 방어 전략을 구축하는 데 도움이 됩니다.
Persistence 기술: Account Manipulation부터 Valid Accounts까지
Account Manipulation
계정 조작은 공격자가 시스템 내의 계정 정보를 변경하거나 조작하여 권한을 획득하는 기술입니다. 이는 보안 설정이 미흡한 시스템에서 매우 효과적으로 사용됩니다. 공격자는 흔히 기존 계정에 권한을 추가하거나 새로운 계정을 생성하여 접근 권한을 확보합니다.
- 강력한 암호 정책 적용: 길이와 복잡성이 높은 암호를 요구하여 계정 조작을 어렵게 만듭니다.
- 계정 모니터링: 이상 징후를 감지하고 계정 활동을 모니터링하여 불법적인 접근을 식별합니다.
- 권한 관리 및 제한: 최소한의 권한만 부여하고, 필요한 경우에만 추가 권한을 부여하여 계정 조작을 방지합니다.
BITS Jobs
BITS Jobs는 Background Intelligent Transfer Service (BITS)를 이용하여 시스템에 백도어를 만들기 위해 실행할 작업을 설정하는 기술입니다. BITS는 Windows 운영 체제에 내장된 서비스로, 파일 다운로드 및 업로드를 관리하는 데 사용됩니다.
- BITS 제한: 필요한 경우 BITS 서비스를 차단하거나 제한하여 악용을 방지합니다.
- 정기적인 BITS Job 검토: BITS Job을 정기적으로 검토하여 의심스러운 작업을 식별하고 삭제합니다.
Boot or Logon Autostart Execution
부팅 또는 로그온시 자동으로 실행되도록 설정된 악성 프로그램을 포함한 기술입니다. 공격자는 이를 이용하여 시스템이 부팅될 때 자동으로 실행되는 악성 코드를 설치하여 영구적인 백도어를 만듭니다.
- 부팅 및 로그온 설정 검토: 부팅 및 로그온 설정을 검토하여 실행되는 프로그램을 식별하고 제한합니다.
- 보안 소프트웨어 설치: 최신의 안티바이러스 및 방화벽 소프트웨어를 설치하여 악성 프로그램을 탐지하고 차단합니다.
Boot or Logon Initialization Scripts
부팅 또는 로그온 초기화 스크립트를 이용하여 시스템에 악성 코드를 삽입하는 기술입니다. 이를 통해 공격자는 시스템이 부팅될 때 스크립트가 실행되어 악성 코드가 실행되도록 합니다.
- 스크립트 실행 권한 제한: 필요한 경우 스크립트 실행 권한을 제한하여 악용을 방지합니다.
- 정기적인 스크립트 검토: 시스템에 등록된 모든 초기화 스크립트를 검토하여 의심스러운 내용을 식별하고 삭제합니다.
Browser Extensions
Browser Extensions은 웹 브라우저의 확장 기능을 이용하여 악성 기능을 추가하는 기술입니다. 공격자는 피싱 사이트를 통해 사용자가 악성 확장 프로그램을 다운로드하도록 유도하거나, 이미 설치된 확장 프로그램에 악성 코드를 삽입하여 사용자의 브라우저를 제어하거나 개인 정보를 탈취할 수 있습니다.
- 확장 프로그램 관리: 사용자에게 허용된 확장 프로그램만 허용하고, 신뢰할 수 없는 소스에서의 확장 프로그램 설치를 차단합니다.
- 정기적인 업데이트: 브라우저와 확장 프로그램을 최신 버전으로 업데이트하여 보안 취약점을 해결하고 악성 확장 프로그램을 차단합니다.
Compromise Client Software Binary
Compromise Client Software Binary는 클라이언트 소프트웨어의 이진 파일을 감염시켜 악성 코드를 실행하는 기술입니다. 공격자는 사용자가 다운로드하는 클라이언트 소프트웨어에 악성 코드를 삽입하여 시스템에 침투하고, 사용자의 개인 정보를 탈취하거나 시스템을 제어할 수 있습니다.
- 신뢰할 수 있는 소스에서 다운로드: 소프트웨어를 다운로드할 때에는 신뢰할 수 있는 공식 웹사이트 또는 앱 스토어를 통해 다운로드합니다.
- 안티바이러스 및 방화벽 소프트웨어 설치: 최신의 안티바이러스 및 방화벽 소프트웨어를 설치하여 악성 코드를 탐지하고 차단합니다.
Create Account
Create Account는 공격자가 시스템에 새로운 계정을 생성하여 접근하는 기술입니다. 공격자는 시스템에 불법적으로 계정을 생성하여 시스템에 접근하고, 권한을 획득하여 시스템을 제어하거나 개인 정보를 탈취할 수 있습니다.
- 계정 생성 권한 제한: 시스템 관리자는 필요한 경우에만 계정 생성 권한을 부여하고, 불필요한 계정 생성을 차단합니다.
- 계정 모니터링: 시스템에 등록된 모든 계정을 모니터링하고, 의심스러운 계정 생성 활동을 탐지하여 즉시 조치를 취합니다.
Create or Modify System Process
Create or Modify System Process는 시스템 프로세스를 생성하거나 수정하여 악성 코드를 실행하는 기술입니다. 공격자는 시스템 프로세스를 변조하여 시스템에 악성 코드를 삽입하거나, 새로운 프로세스를 생성하여 시스템을 제어할 수 있습니다.
- 시스템 프로세스 권한 제한: 시스템 관리자는 시스템 프로세스의 생성 및 수정 권한을 제한하여 악용을 방지합니다.
- 정기적인 프로세스 검사: 시스템에 등록된 모든 프로세스를 정기적으로 검사하여 의심스러운 프로세스를 식별하고, 즉시 조치를 취합니다.
Event Triggered Execution
Event Triggered Execution은 특정 이벤트가 발생할 때 실행되도록 설정된 악성 코드를 포함한 기술입니다. 예를 들어, 사용자가 특정 웹사이트에 접속하거나 파일을 다운로드할 때, 이벤트가 트리거되어 악성 코드가 실행될 수 있습니다.
- 웹 필터링 및 콘텐츠 스캐닝: 웹 필터링 및 콘텐츠 스캐닝 시스템을 통해 악성 웹사이트나 파일을 탐지하고 차단합니다.
- 인지 보안 솔루션: 실시간으로 시스템 및 네트워크 트래픽을 모니터링하여 이상 징후를 감지하고 악성 이벤트를 차단합니다.
External Remote Services
External Remote Services는 외부 원격 서비스를 이용하여 시스템에 접근하는 기술입니다. 공격자는 외부에서 제공하는 서비스를 통해 시스템에 접근하여 악성 코드를 실행하고, 시스템을 제어하거나 데이터를 탈취할 수 있습니다.
- 네트워크 분리: 중요한 시스템을 외부 네트워크로부터 분리하고, 필요한 경우 외부 서비스 접근을 제한합니다.
- 접근 제어 목록(ACL) 설정: 외부에서의 시스템 접근을 제어하기 위해 접근 제어 목록을 설정하고 관리합니다.
Hijack Execution Flow
Hijack Execution Flow는 실행 흐름을 탈취하여 악성 코드를 실행하는 기술입니다. 공격자는 시스템의 실행 흐름을 조작하여 원래의 의도와는 다르게 악성 코드를 실행시키는 것을 목표로 합니다.
- 소프트웨어 업데이트: 시스템 및 응용 프로그램을 최신 버전으로 업데이트하여 보안 취약점을 해결하고, 실행 흐름을 탈취하는 공격을 방지합니다.
- 행위 기반 보안 솔루션: 시스템의 행위를 분석하여 이상 징후를 탐지하고, 악성 코드의 실행 흐름을 탈취하는 시도를 차단합니다.
Implant Internal Image
Implant Internal Image는 내부 이미지를 감염시켜 악성 코드를 실행하는 기술입니다. 공격자는 이미지 파일에 악성 코드를 삽입하여 사용자가 해당 이미지를 열었을 때, 악성 코드가 실행되도록 합니다.
- 이미지 스캐닝: 이미지 파일을 스캔하여 악성 코드를 탐지하고, 감염된 이미지를 차단합니다.
- 업로드 제한: 사용자가 업로드할 수 있는 이미지 파일의 크기나 형식을 제한하여 악성 이미지의 업로드를 방지합니다.
Modify Authentication Process
Modify Authentication Process는 인증 프로세스를 수정하여 악성 코드를 실행하는 기술입니다. 공격자는 사용자의 로그인 정보를 탈취하거나 조작하여 인증 프로세스를 우회하거나 변경하여 시스템에 악성 코드를 삽입하고 실행할 수 있습니다.
- 다중 인증 요소(MFA) 사용: 다중 인증 요소를 통해 보안을 강화하고, 사용자의 신원을 보다 신뢰할 수 있게 합니다.
- 정기적인 보안 감사: 인증 프로세스를 주기적으로 감사하여 이상 징후를 식별하고, 즉시 조치를 취합니다.
Office Application Startup
Office Application Startup은 오피스 응용 프로그램이 시작될 때 실행되도록 설정된 악성 코드를 포함한 기술입니다. 공격자는 피싱 이메일이나 악성 문서를 통해 사용자가 오피스 응용 프로그램을 실행할 때, 악성 코드가 자동으로 실행되도록 설계합니다.
- 정기적인 보안 교육: 사용자에게 올바른 사용법 및 안전한 문서 열기 절차를 교육하여 피싱 공격에 대비합니다.
- 보안 업데이트 및 패치: 오피스 응용 프로그램을 최신 버전으로 업데이트하여 보안 취약점을 해결하고, 악성 코드 실행을 방지합니다.
Power Settings
Power Settings은 전원 설정을 변경하여 시스템에 악성 코드를 실행하는 기술입니다. 공격자는 시스템의 전원 관리 설정을 조작하여 슬립 모드나 절전 모드에서도 악성 코드가 계속 실행되도록 만듭니다.
- 관리자 권한 제한: 사용자의 전원 관리 권한을 제한하여 시스템 설정이 무단으로 변경되는 것을 방지합니다.
- 보안 소프트웨어 설치: 안티바이러스 및 방화벽 소프트웨어를 설치하여 악성 코드를 탐지하고 차단합니다.
Pre-OS Boot
Pre-OS Boot은 운영 체제 부팅 전에 실행되도록 설정된 악성 코드를 포함한 기술입니다. 공격자는 부트로더 또는 바이오스에 악성 코드를 심어 부팅 과정 중에 실행되어 시스템에 침투하고 제어할 수 있습니다.
- 보안 부팅 프로세스 사용: 보안 부팅 프로세스를 활성화하여 부팅 시스템이 무단 변경된 것을 감지하고, 이를 차단합니다.
- 바이오스 업데이트: 시스템 바이오스를 최신 버전으로 업데이트하여 보안 취약점을 해결하고, 악성 코드 실행을 방지합니다.
Scheduled Task/Job
Scheduled Task/Job은 일정한 시간에 실행되도록 예약된 작업을 설정하여 악성 코드를 실행하는 기술입니다. 공격자는 시스템에 정기적으로 실행되는 예약된 작업을 설정하여 악성 코드를 실행하고, 시스템을 침투하거나 제어할 수 있습니다.
- 정기적인 작업 검토: 시스템에 등록된 모든 예약된 작업을 검토하여 의심스러운 작업을 식별하고, 필요한 경우 삭제하거나 차단합니다.
- 보안 솔루션 설치: 안티바이러스 및 방화벽 소프트웨어를 설치하여 악성 코드를 탐지하고 차단합니다.
Server Software Component
Server Software Component는 서버 소프트웨어 구성 요소를 이용하여 시스템에 악성 코드를 실행하는 기술입니다. 공격자는 서버 소프트웨어의 취약점을 이용하여 악성 코드를 삽입하고 실행하여 시스템을 침투하거나 제어할 수 있습니다.
- 서버 보안 강화: 서버 소프트웨어의 취약점을 해결하기 위해 정기적인 보안 패치 및 업데이트를 수행합니다.
- 네트워크 분리: 중요한 서버를 외부 네트워크로부터 분리하여 외부에서의 접근을 제한하고 보안을 강화합니다.
Traffic Signaling
Traffic Signaling은 트래픽 신호를 이용하여 악성 코드를 실행하는 기술입니다. 공격자는 특정한 트래픽 패턴이나 트래픽 신호를 감지하여 악성 코드를 실행하고, 시스템을 침투하거나 제어할 수 있습니다.
- 네트워크 모니터링: 시스템의 네트워크 트래픽을 모니터링하여 이상 징후를 탐지하고, 악성 트래픽을 차단합니다.
- 인지 보안 솔루션: 실시간으로 트래픽을 분석하여 악성 트래픽을 식별하고 차단하는 인지 보안 솔루션을 활용합니다.
Valid Accounts
Valid Accounts는 유효한 계정을 이용하여 시스템에 접근하는 기술입니다. 공격자는 유효한 사용자 계정을 이용하여 시스템에 접근하고, 권한을 획득하여 시스템을 침투하거나 제어할 수 있습니다.
- 강력한 암호 정책 적용: 길이와 복잡성이 높은 암호를 요구하여 계정 접근을 보호합니다.
- 계정 모니터링: 시스템에 등록된 모든 계정을 모니터링하고, 의심스러운 계정 활동을 탐지하여 즉시 조치를 취합니다.
결론
결론적으로, ATT&CK Matrix의 Persistence 기술은 공격자가 시스템에 접근하고 지속적으로 제어할 수 있는 다양한 방법을 제시합니다. 이러한 공격 기술에 대한 이해와 대응은 조직의 보안 강화에 중요한 역할을 합니다. 따라서, 각 Persistence 기술에 대한 대응 전략을 수립하고 실천함으로써 시스템과 데이터를 보호할 수 있습니다. 이를 통해 보안 수준을 향상시키고, 공격으로부터의 위험을 최소화할 수 있습니다.
'정보 보안' 카테고리의 다른 글
| 사이버 보안의 숨겨진 비밀: ATT&CK Matrix로 배우는 Defense Evasion 기술 해부 [Defense Evasion - 1] (0) | 2024.02.13 |
|---|---|
| 사이버 보안 전문가를 위한 가이드: ATT&CK Matrix의 14가지 Privilege Escalation 기술 마스터하기 (0) | 2024.02.13 |
| 최신 보안 기술로 조직의 안전을 확보하라! ATT&CK Matrix - Execution 기법 14가지 (0) | 2024.02.13 |
| 디지털 보안 비밀 전략: ATT&CK Matrix - Initial Access 최신 대응책 (0) | 2024.02.13 |
| 당신의 네트워크를 무적으로 만드는 방법 ATT&CK Matrix - Resource Development (0) | 2024.02.13 |
