[스피어피싱] 1강 MITRE ATT&CK FRAMEWORK

1. MITRE ATT&CK 모델 개념과 구성 요소

• MITRE ATT&CK은 실제로 관찰된 공격자의 그룹들의 정보를 기반으로 만들어진 전술/기술 내용을 담은 지식베이스
• 모델은 크게 엔터프라이즈, 모바일, ICS 3개로 구분
• 엔터프라이즈 매트릭스의 경우 윈도우, 맥OS, 리눅스, 클라우드 카테고리로 구분

 

2. MITRE ATT&CK 모델의 TTP 매트릭스

• MITRE ATT&CK 모델은 TTP(Tatics, Techniques, Procedures) 개념을 기반으로 매트릭스 형태로 표현

 

MITRE ATT&CK FRAMEWORK Enterprise Model

 

• 여기서 Matrix 상단의 Tatic 들은 순서대로 나열된 것이 아님
  • 전체 공격 시나리오의 단계별 목표를 위해 선택적으로 사용

 

3. 그 외 정보

 

3.1 BAS(Breach & Attack Simulation)

• 네트워크의 사이버 방어를 테스트 하기 위한 자동화 도구
• 표적 공격을 시뮬레이션 해줌
• 보통 MITRE ATT&CK FRAMEWORK 기반으로 해당 솔루션의 우위성을 표시

 

3.2 스피어피싱 테크닉

• 첨부파일을 이용한 스피어피싱 공격
  • 압축파일의 파일명 이용
  • MS-OFFICE 문서의 DDE 이용
  • PDF 문서의 익스플로잇 이용
  • HWP 문서의 포스트 스크립트 이용