Mitre ATT&CK - 자원개발

T1583 (Acquire Infrastructure)

공격자는 표적을 지정하는 동안 사용할 수 있는 기반 시설을 구매, 임대 또는 임대
 적의 작전을 호스팅하고 조정하기 위한 다양한 인프라가 존재합니다.
인프라 솔루션에는 물리적 또는 클라우드 서버, 도메인 및 타사 웹 서비스가 포함됩니다.
또한 봇넷은 임대 또는 구매할 수 있습니다.
[https://michaelkoczwara.medium.com/cobalt-strike-c2-hunting-with-shodan-c448d501a6e2]

- .001 Domains
표적화하는 동안 사용할 수 있는 도메인을 구매할 수 있습니다.
구매한 도메인을 피싱, Drive-by 도용, 명령 및 제어를 비롯한 다양한 목적으로 사용
공격자는 상형 문자를 사용하거나 다른 최상위 도메인을 사용하는것을 포함
[https://www.esentire.com/security-advisories/notorious-cybercrime-gang-fin7-lands-malware-in-law-firm-using-fake-legal-complaint-against-jack-daniels-owner-brown-forman-inc]

• Group
    ㄴ APT1
    ㄴ APT28
    ㄴ APT29
    ㄴ APT32 etc..

 

- .002 DNS Server
표적을 지정하는 동안 사용할 수 있는 자체 DNS서버를 설정할 수 있습니다.
공격 후 활동 중에 공격자는 명령 및 제어를 포함하여 DNS 트래픽을 활용 가능
[https://unit42.paloaltonetworks.com/dns-tunneling-how-dns-can-be-abused-by-malicious-actors/]

 

- .003 Virtual Private Server
표적을 잡는 동안 사용할 수 있는 VPS를 임대 가능
가상 머신/컨테이너를 서비스로 판매할 다양한 클라우드 서비스 제공업체
VPS를 활용하여 작전을 물리적으로 연결하기 어렵게 만들 수 있습니다.
[https://michaelkoczwara.medium.com/cobalt-strike-c2-hunting-with-shodan-c448d501a6e2]

- Group
 ㄴ HAFNIUM
 ㄴ TEMP.Veles

- .004 Server
표적을 지정하는 동안 사용할 수 있는 물리적 서버를 구매할 수 있습니다.
서버를 사용하면 공격자가 작업을 준비,실행 할 수 있습니다.

- Group
 ㄴ GALLIUM
 ㄴ Sandworm Team 

 

 

• .005 Botnet
  표적을 지정하는동안 사용할 수 있는 손상된 시스템 네트워크를 구매할 수 있습니다.
  봇넷은 조정된 작업을 수행하도록 지시할 수 있는 시스템 네트워크 입니다.
  대규모 피싱 또는 디도스같은 활동을 할 수 있습니다.
  [https://us.norton.com/internetsecurity-malware-what-is-a-botnet.html]

 

- .006 Web Services
웹 서비스를 표적으로 합니다.

- Group
 ㄴ APT17
 ㄴ APT29
 ㄴ APT32
 ㄴ HAFNIUM
 ㄴ IndigoZebra etc…
 

 

T1586 (Compromise Accounts) 

공격자는 표적으로 삼는 동안 사용할 수 있는 서비스로 계정을 해킹할 수 있습니다.
사회 공학을 통합하는 작업의 경우 SNS상의 대인관계 활용이 중요합니다.
계정을 생성하는 대신(예: 계정 설정) 기존 계정을 손상시킬 수 있습니다.
대인관계 활용
[https://arstechnica.com/tech-policy/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack/] 

 

- .001 Social Media Accounts
SNS상의 대인관계는 Facebook, LinkedIn, Twitter에 존재합니다.
해킹된 소셜 미디어 계정을 이용하여 관심 타겟에 대한 접촉과 다른 사람을 통해서
접촉할 수 있습니다.

• .002 Email Accounts
  표적으로 삼는 동안 사용할 수 있는 이메일 계정을 해킹할 수 있습니다.
  해킹된 이메일 계정을 사용하여 정보용 피싱을 수행하는 등의 작업을 수행합니다.
  공격자는 해킹된 이메일 계정을 사용하여 관심 대상이 있는 이메일 스레드를
  하이재킹할 수 있습니다.
  [https://blog.malwarebytes.com/threat-intelligence/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/]
  
  - Group
   ㄴ IndigoZebra
   ㄴ Kimsuky
   ㄴ Leviathan
   ㄴ Magic Hound

 

T1584(Compromise Infrastructure)

표적을 지정하는 동안 사용할 수 있는 타사 인프라를 해킹할 수 있습니다.
인프라 솔루션에는 물리적 또는 클라우드 서버,도메인 및 타사 웹 서비스가 포함됩니다.
공격자는 활용할 수 있는 봇넷을 형성하기 위해 수많은 시스템을 해킹할 수 있습니다.
[https://michaelkoczwara.medium.com/cobalt-strike-c2-hunting-with-shodan-c448d501a6e2]
[https://media.defense.gov/2019/Oct/18/2002197242/-1/-1/0/NSA_CSA_Turla_20191021%20ver%204%20-%20nsa.gov.pdf]

 

-  .001 Domains
공격자는 도메인 소유자로 나열된 사람의 이메일 계정에 액세스할 수 있습니다. 
다음 공격자는 도메인 등록을 변경하기 위해 비밀번호를 잊어버렸다고 도움을
요청할 수 있습니다. 다른 가능성에는 계정에 대한 액세스 권한을 얻거나 갱신 프로세스 격차를 활용하기 위한 소셜 엔지니어링 도메인 등록 헬프 데스크가 포함됩니다.

• Group
  ㄴ APT1
  ㄴ APT29
  ㄴ Transparent Tribe
  ㄴ Magic Hound

-  .002 DNS Server
표적으로 삼는 동안 사용할 수 있는 타사의 DNS 서버를 손상시킬 수 있습니다.
공격 후 공격자는 명령 및 제어를 포함하여 다양한 작업에 DNS 트래픽을 활용할 수 있습니다.

공격자는 DNS 서버를 손상시켜 DNS 레코드를 변경할 수 있습니다.
DNS 서버의 실제 소유자에게 정보를 제공하지않고 악성 서버를 가리키는 하위 도메인을
자동으로 생성할 수도 있습니다.

 

-  .003 Virtual Private Server
표적으로 삼는 동안 사용할 수 있는 타사 VPS를 손상시킬 수 있습니다.
공격자는 제3자가 구매한 VPS를 손상시킬 수 있습니다.

- Group
  ㄴ Turla

• .004 Server
  표적으로 삼는 동안 사용할 수 있는 타사 서버를 해킹할 수 있습니다.
  서버를 사용하면 공격자가 작업을 준비, 실행할 수 있습니다.

 

공격자는 또한 Drive-by Compromise에서와 Watering Hole공격으로 웹 서버를 해킹할 수 있습니다.
::Watering Hole : 타겟이 자주 들어가는 홈페이지를 파악한후 취약점을 통해 악성코드를 심어
유저가 모르게 악성코드를 다운받게 한후 그것을 통해서 공격하는 방식

Group
ㄴ APT16
ㄴ Indrik Spider
ㄴ Turla
[https://www.accenture.com/us-en/blogs/cyber-defense/turla-belugasturgeon-compromises-government-entity]

 

-  .005 Botnet
표적으로 삼는 동안 사용할 수 있는 봇넷을 형성하기 위해 수많은 타사 시스템을
해킹할 수 있습니다.
봇넷은 조정된 작업을 수행하도록 지시할 수 있는 해킹된 시스템 네트워크입니다.
공격자는 봇을 공격자가 제어하는 C2서버로 리디렉션하는 것과 같이 기존 봇넷을
털취할 수도 있습니다.
[https://www.secureworks.com/research/dridex-bugat-v5-botnet-takeover-operation]

- Group
  ㄴ Turla

-  .006 Web Services
표적을 지정하는 동안 사용할 수 있는 타사 웹 서비스에 대한 액세스를 해킹할 수 있습니다.
Github, Twitter, Dropbox, Google 등과 같은 웹서비스에 대한 사용자의 액세스 권한을
소유하고 해당 웹 서비스를 이용하여 사이버 작전을 이용한 블랙으로 이용할 수 있습니다.
[https://www.recordedfuture.com/turla-apt-infrastructure/]

 

T1587(Develop Capabilities)

표적을 잡는 동안 사용할 수 있는 기능을 구축할 수 있습니다.
능력을 구매하거나 무료로 다운로드 하거나 훔치는 대신 자체 능력을 사내에서 개발 할 수 있습니다. 개발 요구 사항을 식별하고 Malware, Exploit 및 자체 서명된 인증서와 같은 솔루션을 구축하는 프로세스입니다. 적 라이프 사이클의 여러단계에서 작전을 지원하는 능력 개발할 수 있습니다.

- Group
  ㄴ Kimsuky

[https://www.virusbulletin.com/virusbulletin/2020/03/vb2019-paper-kimsuky-group-tracking-king-spearphishing/]

 

 

- .001 Malware

표적으로 삼는 동안 사용할 수 있는 맬웨어 및 맬웨어 구성 요소를 개발할 수 있습니다. 
악성 소프트웨어 구축에는  payloads, droppers, post-compromise tools, backdoors
(including backdoored images), packers, C2 protocols 및 감염된 이동식 미디어 생성이 포함될 수 있습니다. 자신의 작업을 지원하기 위해 멀웨어를 개발하여 원격 시스템의 제어를
유지 관리하고 방어를 회피하고 침해 후 행동을 실행하는 수단을 만들 수 있습니다

- Group
 ㄴ APT29
 ㄴ Cleaver
 ㄴ FIN7
 ㄴ TeamTNT
 ㄴ Lazarus Group etc..
[https://unit42.paloaltonetworks.com/hildegard-malware-teamtnt/]

- .002 Code Signing Certificates

표적을 삼는 동안 사용할 수 있는 자체 서명된 코드 서명 인증서를 생성할 수 있습니다.
코드 서명은 소프트웨어 작성자를 확인하고 코드가 변경되거나 해킹되지 않았음을 보장하기 위해 실행 파일과 스크립트에 디지털 서명하는 프로세스입니다.

코드 서명 이전에 공격자는 작전에 사용하기 위해 자체 서명된 코드 서명 인증서를
개발할 수 있습니다.

- Group
 ㄴ Patchwork
 ㄴ PROMETHIUM
[https://www.bitdefender.com/files/News/CaseStudies/study/353/Bitdefender-Whitepaper-StrongPity-APT.pdf]

• .003 Digital Certificates
  표적으로 삼는 동안 사용할 수 있는 자체 서명된 SSL/TLS 인증서를 생성할 수 있습니다. 
  SSL/TLS 인증서는 신뢰를 심어주도록 설계되었습니다. 여기에는 키에 대한 정보, 소유자의 ID에 대한 정보, 인증서 내용이 올바른지 확인한 엔터티의 디지털 서명이 포함됩니다. 
  
  - Group
   ㄴ APT29
   ㄴ PROMETHIUM
  [https://www.pwc.co.uk/issues/cyber-security-services/insights/wellmess-analysis-command-control.html]

 

 

 

 

- .004 Exploit
표적을 지정하는 동안 사용할 수 있는 익스플로잇을 개발할 수 있습니다. 익스플로잇은 컴퓨터 하드웨어나 소프트웨어에서 의도하지 않거나 예상치 못한 동작이 발생하도록 하기 위해 버그나 취약점을 이용합니다. 악용 개발 프로세스의 일부로 공격자는 퍼징 및 패치 분석과 같은 방법을 통해 악용 가능한 취약점을 발견할 수 있습니다.
[https://www.irongeek.com/i.php?page=videos/bsidescharm2017/bsidescharm-2017-t111-microsoft-patch-analysis-for-exploitation-stephen-sims]

 

T1585 (Establish Accounts)

표적화하는 동안 사용할 수 있는 서비스로 계정을 만들고 육성할 수 있습니다. 적들은 추가 작전을 위한 대인관계를 구축하는 데 사용할 수 있는 계정을 만들 수 있습니다. 대인관계 개발은 공개 정보, 존재, 역사 및 적절한 소속의 개발로 구성됩니다.

사회 공학을 통합하는 작업의 경우 SNS 대인관계의 활용이 중요할 수 있습니다. 이러한 대인관계는 가상이거나 실제 사람을 가장할 수 있습니다. 대인관계는 단일 사이트 또는 여러 사이트(예: Facebook, LinkedIn, Twitter, Google, GitHub, Docker Hub 등)에 존재할 수 있습니다. 대인관계를 설정하려면 실제처럼 보이도록 추가 문서를 개발해야 할 수 있습니다.

[https://research.checkpoint.com/2020/ransomware-alert-pay2key/]

- Group
 ㄴ APT17
 ㄴ Fox Kitten

 

- .001 Social Media Accounts
페르소나가 개발되면 적군은 이를 사용하여 관심 대상에 대한 연결을 생성할 수 있습니다. 이러한 연결은 직접적이거나 다른 사람을 통한 연결 시도를 포함할 수 있습니다.
[https://us-cert.cisa.gov/ncas/alerts/aa21-200a]

- Group
 ㄴ APT32
 ㄴ Cleaver
 ㄴ Leviathan
 ㄴ Fox Kitten
 ㄴ Magic Hound

• .002 Email Accounts
  물리적으로 자신에게 작업을 묶을 가능성을 줄이기 위해 공격자는 일회용 이메일 서비스를 사용할 수 있습니다.
  
   - Group
   ㄴ APT1
   ㄴ Magic Hound
   ㄴ Leviathan
• T1588 (Obtain Capabilities)

표적으로 삼는 동안 사용할 수 있는 기능을 구매 및/또는 훔칠 수 있습니다. 내부에서 자체 기능을 개발하는 대신 공격자가 해당 기능을 구매하거나 무료로 다운로드하거나 훔칠 수 있습니다. 활동에는 멀웨어, 소프트웨어(라이센스 포함), 익스플로잇, 인증서 및 취약성과 관련된 정보 획득이 포함될 수 있습니다. 적들은 적의 라이프사이클의 여러 단계에 걸쳐 작전을 지원하는 능력을 획득할 수 있습니다.

소프트웨어 라이선스, 맬웨어, SSL/TLS 및 코드 서명 인증서를 훔치거나 취약성 또는 익스플로잇이 있는 폐쇄된 데이터베이스를 습격하는 것이 포함

[https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/]

- .001 Malware

무료 맬웨어를 다운로드하는 것 외에도 공격자는 타사 엔터티에서 이러한 기능을 구입할 수 있습니다. 타사 엔터티에는 맬웨어 개발, 범죄 시장 또는 개인을 전문으로 하는 기술 회사가 포함될 수 있습니다. 악성코드를 구매하는 것 외에도 공격자는 제3자(다른 공격자 포함)로부터 악성코드를 훔치고 용도를 변경할 수 있습니다.
[https://www.welivesecurity.com/2021/06/10/backdoordiplomacy-upgrading-quarian-turian/]

- Group
  ㄴ Andariel
  ㄴ APT1
  ㄴ BackdoorDiplomacy
  ㄴ Turla

- .002 Tool
 공격자는 침해 후 행동의 실행을 지원하는 것을 포함하여 그들의 작전을 지원하기 위한 도구를       얻을 수 있습니다.
 [https://www.randhome.io/blog/2020/12/20/analyzing-cobalt-strike-for-fun-and-profit/]

• Group
   ㄴ APT-C-36
   ㄴ APT1
   ㄴ APT28
   ㄴ APT32 etc..
  

 

 

- .003 Code Signing Certificates
 공격자는 작전에 사용하기 위해 코드 서명 인증서를 구매하거나 훔칠 수 있습니다. 
 코드 서명 인증서의 구매는 프론트 조직을 사용하거나 공격자가 인증서 공급자에게 해당
 엔터티 를 확인할 수 있도록 하는 이전에 손상된 엔터티에서 훔친 정보를 사용하여 수행할 수
 있습니다. 공격자는 손상된 제3자로부터 직접 코드 서명 자료를 훔칠 수도 있습니다.
[https://securityintelligence.com/posts/from-mega-to-giga-cross-version-comparison-of-top-megacortex-modifications/]

- Group
  ㄴ MegaCortex
  ㄴ Wizard Spider

 

 

 

- .004 Digital Certificates
  공격자는 인증 기관을 포함하여 손상된 제3자로부터 직접 인증서 자료를 훔칠 수도 있습니다. 
  공격자는 나중에 SSL/TLS 인증서를 구매하기 위해 도메인을 등록하거나 하이재킹할 수
  있습니다. 공격자가 도메인 유효성 검사 인증서와 같은 SSL/TLS 인증서를 무료로 획득할 수
  있도록 허용하는 인증 기관이 있습니다. 
  [https://info.phishlabs.com/blog/silent-librarian-more-to-the-story-of-the-iranian-mabna-institute-indictment]

  - Group
  ㄴ Lazarus Group
  ㄴ Silent Librarian

 

- .005 Exploits
익스플로잇 제공자 포럼을 모니터링하여 기존 익스플로잇 상태와 새로 발견된 익스플로잇 상태를
이해할 수 있습니다. 일반적으로 익스플로잇이 발견된 시점과 공개 시점 사이에는 지연이 있습니다. 공격자는 후속 작전에서 사용할 지식을 얻기 위해 익스플로잇 연구 및 개발을 수행하는 것으로
알려진 시스템을 표적으로 삼을 수 있습니다.
[https://www.vice.com/en/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec]

 

- .006 Vulnerabilities
표적화하는 동안 사용할 수 있는 취약점에 대한 정보를 얻을 수 있습니다. 취약점은 의도하지 않거나 예상치 못한 동작을 발생시키기 위해 잠재적으로 공격자가 악용할 수 있는 컴퓨터 하드웨어 또는 소프트웨어의 약점입니다. 공격자는 공개 데이터베이스를 검색하거나 폐쇄된 취약성 데이터베이스에 액세스하여 취약성 정보를 찾을 수 있습니다.

공격자는 취약점 공개/데이터베이스를 모니터링 하여 기존 취약점과 새로 발견된 취약점의 상태를 이해할 수 있습니다. 일반적으로 취약점이 발견된 시점과 공개 시점 사이에는 지연이 있습니다. 공격자는 취약점 연구를 수행하는 것으로 알려진 시스템(상업 공급업체 포함)을 표적으로 삼을 수 있습니다.
[https://nvd.nist.gov/]

 

-Group
ㄴ Sandworm Team

 

- T1608 (Stage Capabilities)

공격자는 타겟팅하는 동안 사용할 수 있는 기능을 업로드, 설치 또는 설정할 수 있습니다. 자신의 작전을 지원하기 위해 공격자는 자신이 개발(Develop Capabilities )하거나 획득한
(Get Capabilities) 기능을 취하여 자신이 통제하는 인프라에 배치해야 할 수 있습니다.
이러한 기능은 이전에 공격자가 구매/임대했거나 (인프라 획득) 공격에 의해 해킹 되었던 인프라에서 준비될 수 있습니다(인프라 손상). 기능은 GitHub 또는 Pastebin 과 같은 웹 서비스에서도 스테이징 될 수 있습니다.
[https://www.digicert.com/kb/ssl-certificate-installation.htm]

 

- .001 Upload Malware
애플리케이션 바이너리, 가상 머신 이미지 또는 컨테이너 이미지와 같은 백도어 파일을 타사 소프트웨어 스토어 또는 리포지토리(예: GitHub, CNET, AWS Community AMI, Docker Hub)에 업로드할 수 있습니다. 우연한 기회에 피해자는 User Execution 을 통해 이러한 백도어 파일을 직접 다운로드/설치할 수 있습니다 . 가장 하면 사용자가 이러한 파일을 실수로 실행할 가능성이 높아집니다.
[https://www.lacework.com/blog/taking-teamtnt-docker-images-offline/]

-Group
ㄴ APT32
ㄴ TeamTNT

- .002 Upload Tools
도구는 이전에 공격자가 구매/임대 했거나공격에 의해 손상된 인프라에 배치될 수 있습니다.
도구는 공격자가 제어하는 GitHub 리포지토리와 같은 웹 서비스에 준비될 수도 있습니다.

공격자는 도구의 원래 호스팅 사이트를 포함하여 제3자 호스팅 위치에서 도구를 직접 다운로드하여 감염된 피해자 컴퓨터가 도구를 업로드할 필요를 피할 수 있습니다.

[https://attack.mitre.org/groups/G0027]

- Group
ㄴ Threat Group-3390

- .003 Install Digital Certificate
자격 증명 수집 사이트에 대한 신뢰성 제공 과 같은 작업을 추가하는 데 사용할 수 있는 SSL/TLS 인증서를 설치할 수 있습니다 . 디지털 인증서 설치는 웹 서버 및 이메일 서버를 비롯한 여러 서버 유형에 대해 수행될 수 있습니다.

 

- .004 Drive-by Target
Javascript 와 같은 악성 웹 콘텐츠 를 웹사이트에 업로드하거나 삽입할 수 있습니다.
이는 웹 페이지 또는 포럼 게시물과 같이 사용자가 제어할 수 있는 기타 웹 콘텐츠에 악성 스크립트를 삽입하는 것을 포함하여 다양한 방법으로 수행될 수 있습니다. 공격자는 악성 웹 광고를 제작하고 합법적인 광고 제공업체를 통해 웹사이트에서 광고 공간을 구매할 수도 있습니다.
[https://blog.talosintelligence.com/2021/05/transparent-tribe-infra-and-targeting.html]

- Group
 ㄴ APT32
 ㄴ Threat Group-3390
 ㄴ Transparent Tribe

 

- .005 Link Target
JavaScript 와 같은 일부 클라이언트 측 스크립트를 포함할 수 있는 HTML 페이지입니다 . 공격자는 링크 대상 역할을 하기 위해 합법적인 사이트를 복제할 수 있습니다 . 여기에는 스피어피싱 링크 중에 자격 증명을 수집하기 위한 노력으로 합법적인 웹 서비스의 로그인 페이지 또는 조직 로그인 페이지의 복제가 포함될 수 있습니다 . 공격자는 악성코드를 업로드 하고 사용자가 다운로드/실행할 수 있도록 링크 대상이 악성코드를 가리키도록 할 수 있습니다.
[https://blog.malwarebytes.com/malwarebytes-news/2020/10/silent-librarian-apt-phishing-attack/]

- Group
 ㄴ Silent Librarian