최신 보안 기술로 조직의 안전을 확보하라! ATT&CK Matrix - Execution 기법 14가지

Execution

서론: ATT&CK Matrix - Execution란?

ATT&CK Matrix의 Execution은 MITRE가 개발한 사이버 보안 지식 베이스인 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)의 한 부분입니다. 이는 사이버 공격자들이 조직의 네트워크나 시스템에 침투하고 악성 코드를 실행하는 방법을 분류하고 설명하는 행위 모델입니다. Execution은 공격자가 목표를 달성하기 위해 사용하는 다양한 실행 기술과 도구를 다루며, 이를 이해하고 대응하기 위해 보안 전문가들이 활용합니다.

Execution 매트릭스는 공격에 사용되는 실행 기법을 세분화하고 분류하여 조직의 취약점을 파악하고 대응 전략을 개발하는 데 도움을 줍니다. 예를 들어, Command-Line Interface를 통한 실행, PowerShell을 이용한 공격, 또는 DLL Injection과 같은 기법이 Execution 매트릭스에 포함됩니다. 이러한 기술은 공격자들이 특정 목표를 달성하고 보안을 우회하는 데 사용되므로, 이를 이해하고 방어 전략을 구축하는 것이 매우 중요합니다.

따라서, ATT&CK Matrix의 Execution은 현대의 사이버 보안 환경에서 조직이 안전성을 유지하고 공격으로부터 자신을 보호하는 데 필수적인 개념이며, 이를 이해하고 대응하는 데 있어서 핵심적인 도구로 활용됩니다.

 

사이버 공격 대응

Execution 기법 소개

Command-Line Interface
Command-Line Interface (CLI)는 사용자가 텍스트 명령을 입력하여 컴퓨터와 상호 작용하는 방식입니다. 공격자는 CLI를 이용하여 시스템에 악의적인 명령을 전달하여 개인 정보를 탈취하거나 시스템을 손상시킬 수 있습니다.
- 권한 제한: 사용자에게 최소한의 실행 권한만 부여하여 CLI를 사용할 수 있는 범위를 제한합니다.
- 로그 모니터링: 시스템 로그를 모니터링하여 CLI를 통한 이상 행위를 신속하게 감지하고 대응합니다.
- 보안 솔루션 도입: CLI 활동을 감지하고 이상 징후를 탐지하는 보안 솔루션을 도입하여 보호 강화를 진행합니다.

 

Command and Scripting Interpreter
Command and Scripting Interpreter는 명령어나 스크립트를 해석하고 실행하는 도구입니다. 공격자는 이를 이용하여 악성 스크립트를 실행하거나 시스템에 액세스할 수 있습니다.
- 스크립트 실행 제한: 필요에 따라 스크립트 실행을 제한하고, 필요한 경우 스크립트를 사전 승인된 목록에서만 허용합니다.
- 스크립트 서명: 스크립트에 서명하여 신뢰할 수 있는 출처에서만 실행되도록 보장합니다.
- 정기적인 감사: 시스템에서 실행되는 스크립트를 정기적으로 감사하여 이상 행위를 신속하게 탐지하고 대응합니다.

 

Compiled HTML File
Compiled HTML File (CHM)은 HTML, JavaScript, CSS 등의 웹 기술을 사용하여 작성된 파일 형식입니다. 공격자는 이를 이용하여 사용자의 시스템에 악성 코드를 전파하거나 실행할 수 있습니다.
- 실행 권한 제한: CHM 파일의 실행을 필요에 따라 제한하고, 신뢰할 수 없는 출처에서의 실행을 방지합니다.
- 보안 패치 관리: 시스템 및 소프트웨어의 보안 패치를 주기적으로 관리하여 악성 CHM 파일에 의한 공격을 방어합니다.
- 보안 솔루션 적용: 악성 CHM 파일을 식별하고 차단하는 보안 솔루션을 도입하여 시스템을 보호합니다.

 

Component Object Model
Component Object Model (COM)은 Windows 운영 체제에서 사용되는 소프트웨어 컴포넌트의 인터페이스를 정의하는 기술입니다. 공격자는 COM을 이용하여 시스템에 악성 코드를 삽입하거나 실행할 수 있습니다.
- COM 객체 사용 제한: 필요한 경우 COM 객체의 사용을 제한하고, 신뢰할 수 없는 COM 객체의 실행을 방지합니다.
- 보안 패치 관리: 시스템 및 소프트웨어의 보안 패치를 관리하여 COM 취약점을 해결하고 시스템을 보호합니다.
- 모니터링 및 탐지: COM 활동을 모니터링하고 이상 징후를 신속하게 감지하여 대응합니다.

Command-Line Interface
Command-Line Interface (CLI)는 사용자가 텍스트 명령을 입력하여 컴퓨터와 상호 작용하는 방식입니다. 공격자는 CLI를 이용하여 시스템에 악의적인 명령을 전달하여 개인 정보를 탈취하거나 시스템을 손상시킬 수 있습니다.
- 권한 제한: 사용자에게 최소한의 실행 권한만 부여하여 CLI를 사용할 수 있는 범위를 제한합니다.
- 로그 모니터링: 시스템 로그를 모니터링하여 CLI를 통한 이상 행위를 신속하게 감지하고 대응합니다.
- 보안 솔루션 도입: CLI 활동을 감지하고 이상 징후를 탐지하는 보안 솔루션을 도입하여 보호 강화를 진행합니다.

Command and Scripting Interpreter
Command and Scripting Interpreter는 명령어나 스크립트를 해석하고 실행하는 도구입니다. 공격자는 이를 이용하여 악성 스크립트를 실행하거나 시스템에 액세스할 수 있습니다.
- 스크립트 실행 제한: 필요에 따라 스크립트 실행을 제한하고, 필요한 경우 스크립트를 사전 승인된 목록에서만 허용합니다.
- 스크립트 서명: 스크립트에 서명하여 신뢰할 수 있는 출처에서만 실행되도록 보장합니다.
- 정기적인 감사: 시스템에서 실행되는 스크립트를 정기적으로 감사하여 이상 행위를 신속하게 탐지하고 대응합니다.

Compiled HTML File
Compiled HTML File (CHM)은 HTML, JavaScript, CSS 등의 웹 기술을 사용하여 작성된 파일 형식입니다. 공격자는 이를 이용하여 사용자의 시스템에 악성 코드를 전파하거나 실행할 수 있습니다.
- 실행 권한 제한: CHM 파일의 실행을 필요에 따라 제한하고, 신뢰할 수 없는 출처에서의 실행을 방지합니다.
- 보안 패치 관리: 시스템 및 소프트웨어의 보안 패치를 주기적으로 관리하여 악성 CHM 파일에 의한 공격을 방어합니다.
- 보안 솔루션 적용: 악성 CHM 파일을 식별하고 차단하는 보안 솔루션을 도입하여 시스템을 보호합니다.

Component Object Model
Component Object Model (COM)은 Windows 운영 체제에서 사용되는 소프트웨어 컴포넌트의 인터페이스를 정의하는 기술입니다. 공격자는 COM을 이용하여 시스템에 악성 코드를 삽입하거나 실행할 수 있습니다.
- COM 객체 사용 제한: 필요한 경우 COM 객체의 사용을 제한하고, 신뢰할 수 없는 COM 객체의 실행을 방지합니다.
- 보안 패치 관리: 시스템 및 소프트웨어의 보안 패치를 관리하여 COM 취약점을 해결하고 시스템을 보호합니다.
- 모니터링 및 탐지: COM 활동을 모니터링하고 이상 징후를 신속하게 감지하여 대응합니다.

 

Control Panel Items
Control Panel Items은 Windows 운영 체제에서 시스템 설정 및 제어를 위한 인터페이스를 제공합니다. 공격자는 이를 이용하여 시스템 설정을 변경하거나 악성 프로그램을 실행할 수 있습니다.
- 관리자 권한 필요: Control Panel Items에 접근하기 위해 관리자 권한을 요구하여 보안을 강화합니다.
- 제한된 액세스: 필요한 경우 Control Panel Items의 액세스를 제한하여 불필요한 설정 변경을 방지합니다.
- 모니터링 및 탐지: Control Panel Items의 사용을 모니터링하고 이상 징후를 신속하게 탐지하여 대응합니다.

DLL Injection
DLL Injection은 외부 DLL 파일을 강제로 프로세스에 삽입하여 해당 프로세스의 동작을 변경하거나 제어하는 기술입니다. 공격자는 DLL Injection을 이용하여 시스템에 악성 코드를 실행할 수 있습니다.
- DLL 로딩 제한: 필요한 경우 DLL 로딩을 제한하고, 신뢰할 수 없는 DLL 파일의 실행을 방지합니다.
- 정기적인 감사: 시스템에서 실행되는 프로세스를 정기적으로 감사하여 이상 징후를 신속하게 탐지하고 대응합니다.
- 보안 솔루션 적용: DLL Injection을 탐지하고 차단하는 보안 솔루션을 도입하여 시스템을 보호합니다.

Execution through API
Execution through API는 응용 프로그램의 Application Programming Interface(API)를 통해 악성 코드를 실행하는 기법입니다. 공격자는 시스템의 API를 이용하여 악성 기능을 수행할 수 있습니다.
- API 호출 제한: 필요한 경우 API 호출을 제한하고, 신뢰할 수 없는 API 호출을 방지합니다.
- 보안 패치 관리: API 취약점을 해결하기 위해 시스템과 소프트웨어의 보안 패치를 주기적으로 관리합니다.
- 모니터링 및 탐지: API 호출을 모니터링하고 이상 징후를 신속하게 탐지하여 대응합니다.

Execution through Module Load
Execution through Module Load는 시스템에서 동적으로 모듈을 로드하여 악성 코드를 실행하는 기법입니다. 공격자는 시스템의 모듈 로딩 메커니즘을 이용하여 악성 기능을 수행할 수 있습니다.
- 모듈 로딩 제한: 필요한 경우 모듈 로딩을 제한하고, 신뢰할 수 없는 모듈의 실행을 방지합니다.
- 보안 패치 관리: 시스템과 소프트웨어의 보안 패치를 관리하여 모듈 로딩 취약점을 해결하고 시스템을 보호합니다.
- 모니터링 및 탐지: 모듈 로딩 활동을 모니터링하고 이상 징후를 신속하게 감지하여 대응합니다.

 

Graphical User Interface
Graphical User Interface(GUI)는 사용자가 컴퓨터와 상호 작용하기 위한 시각적 환경을 제공하는 인터페이스입니다. 공격자는 GUI를 이용하여 사용자의 클릭이나 입력을 가로채거나 조작할 수 있습니다.

- 권한 제한: 사용자에게 필요한 최소한의 권한만 부여하여 GUI의 악용을 방지합니다.
- 보안 솔루션 도입: GUI 활동을 모니터링하고 이상 징후를 탐지하는 보안 솔루션을 도입하여 보호 강화를 진행합니다.
- 사용자 교육: 사용자에게 안전한 GUI 사용 방법에 대한 교육을 제공하여 보안 인식을 높입니다.

Input Capture
Input Capture는 사용자의 키보드 입력, 마우스 클릭 등의 입력을 가로채는 기술입니다. 공격자는 Input Capture를 이용하여 사용자의 개인 정보를 탈취하거나 시스템을 제어할 수 있습니다.
- 암호화된 통신: 사용자의 입력이 전송되는 통신은 암호화하여 가로채기를 방지합니다.
- 보안 솔루션 적용: Input Capture를 탐지하고 차단하는 보안 솔루션을 도입하여 시스템을 보호합니다.
- 정기적인 감사: 시스템에서 사용자 입력을 정기적으로 감사하여 이상 징후를 신속하게 탐지하고 대응합니다.

PowerShell
PowerShell은 Microsoft Windows 및 관리되는 환경에서 사용되는 명령줄 인터페이스 및 스크립팅 언어입니다. 공격자는 PowerShell을 악용하여 시스템에 악성 스크립트를 실행하거나 관리 작업을 자동화할 수 있습니다.
- 실행 정책 설정: PowerShell 실행을 제한하고, 필요한 경우 스크립트 실행을 허용합니다.
- 스크립트 서명: PowerShell 스크립트에 서명하여 신뢰할 수 있는 스크립트만 실행되도록 합니다.
- 보안 패치 관리: PowerShell 관련 보안 패치를 관리하여 취약점을 해결하고 시스템을 보호합니다.

Scripting
Scripting은 스크립트 언어를 사용하여 컴퓨터에 명령을 전달하는 프로세스입니다. 공격자는 스크립팅을 이용하여 시스템에 악성 코드를 실행하거나 관리 작업을 자동화할 수 있습니다.
- 스크립트 실행 제한: 필요한 경우 스크립트 실행을 제한하고, 필요한 스크립트만 허용합니다.
- 스크립트 서명: 스크립트에 서명하여 신뢰할 수 있는 출처에서만 실행되도록 보장합니다.
- 보안 패치 관리: 스크립팅 관련 보안 패치를 관리하여 취약점을 해결하고 시스템을 보호합니다.

 

Service Execution
Service Execution은 서비스 실행을 통해 악성 코드를 실행하는 기법입니다. 공격자는 시스템 서비스로 위장하여 악성 코드를 실행하거나 시스템을 손상시킬 수 있습니다.
- 권한 관리: 사용자에게 필요한 최소한의 권한만 부여하여 서비스 실행을 제한하고, 불필요한 서비스를 비활성화합니다.
- 서비스 모니터링: 시스템의 서비스 활동을 모니터링하여 이상 징후를 탐지하고 신속하게 대응합니다.
- 보안 솔루션 적용: 서비스 실행을 감지하고 차단하는 보안 솔루션을 도입하여 시스템을 보호합니다.

Signed Binary Proxy Execution
Signed Binary Proxy Execution은 디지털 서명이 있는 실행 파일을 이용하여 악성 코드를 실행하는 기법입니다. 공격자는 유효한 서명을 가진 실행 파일을 위장하여 보안 검사를 우회하고 악성 코드를 실행합니다.
- 디지털 서명 검증: 실행 파일의 디지털 서명을 검증하여 유효성을 확인하고, 유효하지 않은 서명을 가진 파일의 실행을 차단합니다.
- 정기적인 파일 검사: 시스템의 실행 파일을 정기적으로 검사하여 위장된 실행 파일을 탐지하고 제거합니다.
- 보안 패치 관리: 보안 패치를 관리하여 시스템에 있는 취약점을 해결하고, 실행 파일의 보안성을 강화합니다.

 

 

조직 보안

결론: 조직의 보안을 강화하는 방법

조직의 보안을 강화하는 데는 다양한 방법이 있습니다. 먼저, 최신 보안 솔루션을 도입하고 업데이트하여 시스템을 지속적으로 모니터링하고 보호합니다. 또한 규정 준수 및 보안 정책을 강화하고 직원에 대한 보안 교육을 강화하여 내부 위협을 최소화합니다. 시스템 및 소프트웨어의 보안 패치를 주기적으로 관리하고, 악성 활동을 탐지하고 차단하는 보안 솔루션을 도입하여 보안성을 강화합니다. 더불어 사내 인프라의 모든 계정에 대한 강력한 암호 정책을 시행하고, 암호화 및 다중 인증 기술을 활용하여 데이터 보호를 강화합니다. 이러한 종합적인 보안 접근 방식을 통해 조직은 현대의 다양한 사이버 위협으로부터 안전하게 보호될 수 있습니다.

 

 

디지털 보안 비밀 전략: ATT&CK Matrix - Initial Access 최신 대응책