사이버 보안 전문가를 위한 가이드: ATT&CK Matrix의 14가지 Privilege Escalation 기술 마스터하기

Privilege Escalation

서론: ATT&CK Matrix와 Privilege Escalation의 중요성

사이버 보안의 세계는 끊임없이 변화하고 진화하는 위협으로 가득 차 있습니다. 이러한 환경에서, 공격자들이 시스템의 취약점을 이용하여 더 높은 권한을 획득하는 Privilege Escalation은 중대한 위협 중 하나입니다. 이러한 공격은 시스템의 근본적인 보안 메커니즘을 우회하거나 악용하여, 제한된 사용자 권한에서 더 높은 수준의 권한으로 전환함으로써, 더 심각한 공격을 가능하게 합니다. 예를 들어, 일반 사용자 권한으로 시스템에 접근한 공격자가 관리자 권한을 획득한다면, 해당 시스템은 완전히 탈취될 위험에 처하게 됩니다.

이런 배경에서, MITRE Corporation이 개발한 ATT&CK Matrix는 사이버 보안 전문가들에게 필수적인 자원이 되었습니다. 이 행렬은 공격자가 사용할 수 있는 다양한 전술, 기술, 절차를 체계적으로 분류하고 설명합니다. 특히, Privilege Escalation에 관련된 기술은 사이버 보안 전문가들이 이해하고, 대비하며, 방어해야 할 핵심 영역 중 하나입니다.

Privilege Escalation을 이해하고 방어하는 것은 사이버 보안의 핵심 요소입니다. 이 과정을 통해, 보안 전문가들은 시스템의 취약점을 식별하고 보완할 수 있으며, 공격자가 더 높은 권한을 획득하는 것을 방지함으로써 시스템과 데이터를 보호할 수 있습니다. 또한, 이를 통해 조직은 규정 준수 요구 사항을 충족하고, 사이버 보안 위험을 관리하는 데 필요한 프레임워크를 구축할 수 있습니다.

결론적으로, ATT&CK Matrix와 Privilege Escalation의 이해는 사이버 보안 전략의 기초를 형성합니다. 이 지식을 바탕으로, 보안 전문가들은 공격자가 이용할 수 있는 경로를 차단하고, 조직의 시스템과 정보를 효과적으로 보호할 수 있는 전략을 개발할 수 있습니다. 따라서, 이 영역에 대한 깊은 이해와 지속적인 연구는 사이버 보안 분야에서 성공하기 위한 필수 요건입니다.

 

Threat Hunting

Privilege Escalation 기술 및 대응책

Abuse Elevation Control Mechanism
이 기법은 공격자가 시스템의 보안 메커니즘을 악용하여 더 높은 권한을 획득하는 방법입니다. 예를 들어, 사용자 계정 제어(UAC) 바이패스, 애플리케이션 화이트리스팅 우회, 또는 보안 소프트웨어를 무력화하는 행위가 이에 해당합니다. 공격자는 이러한 취약점을 이용하여 시스템에 대한 제어를 확장하고, 더 심각한 공격을 위한 발판을 마련합니다.

대응책: 첫째, 정기적인 보안 패치 및 업데이트를 적용하여 알려진 취약점을 제거합니다. 둘째, 최소 권한 원칙을 적용하여 사용자와 애플리케이션에 필요한 최소한의 권한만을 부여합니다. 셋째, 보안 솔루션을 사용하여 비정상적인 행위를 감지하고, 시스템 보안 설정을 강화합니다.

Access Token Manipulation
기술 소개: 액세스 토큰 조작은 공격자가 이미 획득한 프로세스 또는 스레드의 액세스 토큰을 조작하여, 더 높은 권한 또는 다른 사용자의 권한으로 실행되는 프로세스를 생성하는 기술입니다. 이를 통해 공격자는 시스템 상에서 권한 상승을 달성하고, 광범위한 액세스 권한을 획득할 수 있습니다.

대응책: 첫째, 시스템의 이상 징후를 모니터링하여 비정상적인 권한 변경이나 액세스 패턴을 식별합니다. 둘째, 사용자 권한 관리를 철저히 하여 불필요한 고권한 계정 사용을 최소화합니다. 셋째, 보안 감사 로그를 활성화하고 정기적으로 검토하여 의심스러운 활동을 추적합니다.

Account Manipulation
기술 소개: 계정 조작은 공격자가 기존 계정의 속성을 변경하거나 시스템에 새로운 계정을 생성하여, 무단으로 시스템에 접근하거나 지속적인 액세스를 확보하는 기법입니다. 이는 공격자에게 시스템 내에서의 은밀한 활동을 가능하게 하며, 탐지를 회피할 수 있게 합니다.

대응책: 첫째, 계정 생성 및 변경에 대한 엄격한 정책과 절차를 마련합니다. 둘째, 정기적인 계정 및 권한 검토를 실시하여 무단 변경이나 의심스러운 계정 활동을 감지합니다. 셋째, 다단계 인증과 같은 강력한 인증 메커니즘을 도입하여 계정 보안을 강화합니다.

Boot or Logon Autostart Execution
기술 소개: 부팅 또는 로그온 시 자동 실행 기법은 공격자가 시스템의 부팅 프로세스 또는 사용자 로그온 시 자동으로 실행되도록 악성 코드나 스크립트를 구성하는 방법입니다. 이를 통해 공격자는 시스템 재시작 후에도 지속적인 액세스를 유지할 수 있습니다.

대응책: 첫째, 자동 실행 설정을 주의 깊게 관리하고, 필요하지 않은 자동 실행 항목은 비활성화합니다. 둘째, 보안 소프트웨어를 사용하여 시작 시 실행되는 애플리케이션과 스크립트를 모니터링하고 검사합니다. 셋째, EDR(Endpoint Detection and Response) 솔루션을 활용하여 이상 행위를 실시간으로 감지하고 대응합니다.

Boot or Logon Initialization Scripts
기술 소개: 부팅이나 로그온 초기화 스크립트 기법은 공격자가 시스템 부팅 또는 사용자 로그온 과정에서 자동으로 실행되도록 스크립트를 구성하는 방법입니다. 이러한 스크립트는 정상적인 관리 작업을 위해 사용될 수 있지만, 악의적인 목적으로 악용될 경우 시스템 보안에 심각한 위협이 됩니다. 공격자는 이를 통해 맬웨어를 지속적으로 실행하거나 시스템 설정을 변경할 수 있습니다.

대응책: 첫째, 로그온 및 초기화 스크립트의 사용을 최소화하고, 필요한 경우에만 엄격하게 관리합니다. 둘째, 시스템에 변경이 이루어질 때 관리자에게 알림을 보내는 보안 정책을 구현합니다. 셋째, 정기적인 보안 검사와 감사를 실시하여 무단으로 추가되거나 변경된 스크립트를 감지합니다.

Create or Modify System Process
기술 소개: 시스템 프로세스 생성 또는 수정은 공격자가 시스템에서 자신의 코드를 실행하거나 기존 프로세스를 변경하여 악의적인 활동을 수행하는 기법입니다. 이를 통해 공격자는 시스템 상에서 광범위한 권한을 획득하고, 감지를 회피하며, 지속적인 액세스를 유지할 수 있습니다.

대응책: 첫째, 프로세스 생성 및 변경에 대한 엄격한 접근 제어 및 감사 정책을 적용합니다. 둘째, 시스템과 네트워크 활동을 모니터링하여 비정상적인 프로세스 활동을 감지합니다. 셋째, 보안 솔루션을 활용하여 알려진 악성 프로세스의 실행을 차단하고, 의심스러운 프로세스 변경을 즉시 분석합니다.

Domain Policy Modification
기술 소개: 도메인 정책 수정은 공격자가 조직의 도메인 컨트롤러에 대한 권한을 획득하여 보안 정책, 사용자 권한, 그룹 정책 등을 변경하는 기법입니다. 이러한 변경을 통해 공격자는 네트워크 전반에 걸쳐 권한을 확장하고, 추가적인 공격을 위한 기반을 마련할 수 있습니다.

대응책: 첫째, 도메인 컨트롤러와 관련된 보안 설정에 대한 정기적인 검토와 강화를 실시합니다. 둘째, 중요한 변경 사항에 대해 멀티 팩터 인증을 요구하는 등의 보안 정책을 구현합니다. 셋째, 보안 로그와 감사 트레일을 활성화하여 모든 변경 사항을 추적하고, 의심스러운 활동을 즉시 조사합니다.

Escape to Host
기술 소개: 호스트 탈출은 주로 가상화 환경에서 발생하는 보안 위협으로, 공격자가 가상 머신(VM)에서 호스트 시스템으로 권한을 확장하는 기법입니다. 이를 통해 공격자는 가상화된 환경을 넘어 실제 호스트 시스템에 영향을 미치고, 시스템 전체에 대한 제어를 획득할 수 있습니다.

대응책: 첫째, 가상화 소프트웨어 및 하드웨어의 보안 패치와 업데이트를 지속적으로 적용합니다. 둘째, 가상 머신과 호스트 시스템 간의 격리를 강화하고, 불필요한 네트워크 연결을 제한합니다. 셋째, 가상 환경의 보안 설정을 정기적으로 검토하고, 가상 머신 모니터(VMM) 및 기타 관리 인터페이스에 대한 접근 제어를 강화합니다.

 

Event Triggered Execution
기술 소개: 이벤트 트리거 실행은 시스템 이벤트(예: 사용자 로그온, 소프트웨어 설치)를 이용하여 악성 코드를 자동으로 실행시키는 기법입니다. 공격자는 이러한 이벤트를 모니터링하여 특정 조건이 충족될 때 악성 페이로드를 실행시킵니다. 이 방법은 특히 시스템의 정상적인 동작을 모방하여 감지를 회피하는 데 유용합니다.

대응책: 첫째, 이벤트 로그를 주기적으로 모니터링하여 비정상적인 이벤트 트리거 활동을 감지합니다. 둘째, 시스템과 애플리케이션의 보안 설정을 강화하여 불필요한 이벤트 트리거를 제한합니다. 셋째, 보안 소프트웨어를 사용하여 악성 코드 실행을 차단하고, 이벤트 트리거 기반 공격을 식별할 수 있는 고급 탐지 기능을 활용합니다.

Exploitation for Privilege Escalation
기술 소개: 권한 상승을 위한 취약점 악용은 공격자가 시스템의 취약점을 이용하여 더 높은 권한을 획득하는 기법입니다. 이는 소프트웨어 버그, 시스템 구성 오류, 또는 설계 결함을 통해 이루어질 수 있으며, 결과적으로 공격자는 시스템 제어를 완전히 장악할 수 있습니다.

대응책: 첫째, 정기적인 취약점 스캔과 보안 평가를 실시하여 시스템의 취약점을 식별하고 수정합니다. 둘째, 최신 보안 패치를 적용하여 알려진 취약점을 해결합니다. 셋째, 원칙에 기반한 접근 제어와 최소 권한 원칙을 적용하여 공격자가 시스템 내에서 이동하고 권한을 상승시키는 것을 어렵게 합니다.

Hijack Execution Flow
기술 소개: 실행 흐름 하이재킹은 공격자가 애플리케이션의 정상적인 실행 흐름을 변경하여 악성 코드를 실행시키는 기법입니다. DLL 인젝션, API 후킹, 레지스트리 변경 등을 통해 이루어질 수 있으며, 이를 통해 공격자는 악성 페이로드를 숨기고 시스템에서 권한을 상승시킬 수 있습니다.

대응책: 첫째, 애플리케이션 백리스트 및 화이트리스트를 관리하여 불신할 수 있는 소프트웨어의 실행을 방지합니다. 둘째, 코드 서명 검증을 강화하여 변경된 또는 악성 코드가 포함된 실행 파일의 실행을 차단합니다. 셋째, 시스템과 애플리케이션의 변경 사항을 모니터링하고, 비정상적인 API 호출 또는 레지스트리 변경을 감지하기 위한 보안 도구를 활용합니다.

Process Injection
기술 소개: 프로세스 인젝션은 공격자가 악성 코드를 정상 프로세스에 주입하여 실행하는 기법입니다. 이를 통해 공격자는 악성 페이로드를 감지에서 숨기고, 정상 프로세스의 권한으로 코드를 실행할 수 있습니다. 이 방법은 탐지 회피와 권한 상승에 효과적입니다.

대응책: 첫째, 프로세스 감시 도구를 사용하여 비정상적인 메모리 사용이나 프로세스 간의 의심스러운 상호 작용을 감지합니다. 둘째, 행동 기반 탐지 시스템을 도입하여 알려지지 않은 위협을 식별합니다. 셋째, 시스템과 네트워크의 보안을 강화하여 공격자가 초기 액세스를 얻는 것을 방지합니다.

Scheduled Task/Job
기술 소개: 예약된 작업 또는 잡은 공격자가 시스템에서 미래의 특정 시간에 악성 코드나 스크립트를 실행하도록 예약하는 기법입니다. 이는 공격자에게 지속적인 액세스를 제공하고, 특정 조건 하에서 악성 활동을 자동으로 실행할 수 있는 수단을 제공합니다.

대응책: 첫째, 예약된 작업의 생성과 수정을 감시하고, 비정상적인 스케줄링 활동을 감지합니다. 둘째, 관리자 권한을 가진 계정의 사용을 최소화하고, 권한 분리 원칙을 적용합니다. 셋째, 정기적인 시스템 감사를 실시하여 무단으로 설정된 예약된 작업을 찾아내고 제거합니다.

Valid Accounts
기술 소개: 유효한 계정을 사용하는 기법은 공격자가 탈취한 또는 속임수를 통해 얻은 정상적인 사용자의 계정을 이용하는 방법입니다. 이를 통해 공격자는 탐지를 회피하고, 시스템 내에서 정상적인 사용자로서 활동할 수 있습니다.

대응책: 첫째, 강력한 비밀번호 정책과 다단계 인증을 구현하여 계정 탈취를 어렵게 합니다. 둘째, 정기적인 계정 검토와 권한 감사를 실시하여 불필요한 권한이 부여된 계정을 식별하고 수정합니다. 셋째, 비정상적인 로그인 시도나 계정 활동을 감지하기 위한 보안 시스템을 구축합니다.

 

Ethical Hacking

결론: 지식의 힘과 책임

사이버 보안의 영역에서, 지식은 단순히 정보의 집합을 넘어서는 힘을 가집니다. 이 지식은 조직과 개인이 사이버 위협으로부터 자신을 방어하고, 안전한 디지털 환경을 유지하는 데 필수적입니다. 공격자들이 지속적으로 전략을 진화시키고 새로운 공격 방법을 개발함에 따라, 사이버 보안 전문가들 역시 최신 위협에 대한 깊은 이해와 대응 전략을 개발해야 합니다. 이는 공격자와의 끊임없는 경쟁에서 우위를 점하는 데 결정적인 역할을 합니다.

하지만, 지식의 힘은 큰 책임도 수반합니다. 사이버 보안 전문가로서 우리는 이 지식을 윤리적으로 사용하여 보호해야 할 정보와 시스템을 방어하는 데 집중해야 합니다. 또한, 이 지식을 공유하고 교육함으로써, 보안 의식을 갖춘 디지털 사회의 구축에 기여해야 합니다. 조직 내부에서의 교육과 훈련은 직원들이 사이버 위협을 인식하고, 올바른 보안 행동을 취하도록 돕는 데 중요합니다.

더 나아가, 사이버 보안 지식의 확산은 전 세계적인 디지털 보안 강화에 기여할 수 있습니다. 국경을 넘어 공유되는 위협 정보와 방어 기술은 국제적인 협력을 촉진하고, 사이버 공간에서의 공동 방어 메커니즘을 강화합니다. 이러한 협력은 전 세계적인 사이버 보안 수준을 높이는 데 필수적입니다.

결국, 사이버 보안 지식은 단순한 정보의 전달을 넘어서, 보다 안전한 미래를 위한 기반을 마련합니다. 이 지식을 적극적으로 활용하고 공유함으로써, 우리는 공격자에 맞서 싸우고, 디지털 세계의 안전과 안정성을 유지하는 데 기여할 수 있습니다. 지식의 힘을 책임감 있게 사용하는 것은 사이버 보안 전문가로서의 우리의 의무이자, 사회에 대한 기여입니다.

계정 조작부터 트래픽 시그널링까지, ATT&CK Matrix - Persistence 기술 20개 분석