Mitre ATT&CK 정찰(Reconnaissance)

T1595 Active Scanning(액티브 스캐닝)
[https://attack.mitre.org/groups/G0139/]
- 주로 클라우드 및 컨테이너된 환경을 타겟으로 삼는 TEAMTNT 그룹이 사용합니다.
   Docker API에 대한 취약점 스캔을 했던 그룹
- .001 Scanning IP Blocks
   특정 아이피 주소 검색

해당 실습 : nmap

- nmap -sT 192.168.246.134
==> connet()함수를 이용한 Open 스캔(TCP)

- .002 Vulnerability Scanning

T1592 Gather Victim Host Information(피해자 호스트 정보수집)
[https://cybersecurity.att.com/blogs/labs-research/scanbox-a-reconnaissance-framework-used-on-watering-hole-attacks]
- ScanBox(Javascript Framework)의 기능은 시스템을 감염시키지 않고
방문자의 시스템에 대한 정보를 수집하는것입니다. 공격자는 웹사이트를 손상시키고 원격서버에서 악성 javascript 파일을 로드하는 코드를 포함할 수 있었습니다.
- Sandworm Team에서 NotPetya(windows) 공격은 손상된 시스템의 데이터와 디스크 구조를 파괴

- Ex) 공개 웹사이트/도메인 , 공개 기술 데이터 베이스 검색, 운영 리소스 설정(기능 개발)
초기 액세스(하드웨어 공급망, 하드웨어 추가 손상)

- .001 Hardware
=> 공격자는 사용할 수 있는 피해자의 호스트 하드웨어에 대한 정보를 수집
      하드웨어 인프라에 대한 세부정보
      (card/biometric readers, dedicated encryption hardware 등)
- .002 Software
=> 공격자는  사용할 수 있는 피해자의 호스트 소프트웨어에 대한 정보를 수집
- .003 Firmware
=> 공격자는  사용할 수 있는 피해자의 호스트 펌웨어에 대한 정보를 수집
       환경 호스트에 대한 추가정보(configuration, purpose, age/path level 등)
- .004 Client Configurations
=> 피해자의 클라이언트 구성에 대한 정보를 수집할 수 있습니다.
클라이언트 구성에 대한 정보에는 운영체제/버전, 가상화, 아키텍처, 언어 및 시간대를 비롯한 다양한 세부 정보 및 설정이 포함될 수 있습니다.
listening ports, server banners, user agent strings을 통한 작업 가능

• T1589 Gather Victim Identity Information(피해자 신원 정보수집)
  표적을 지정하는 동안 사용할 수 있는 피해자의 신원에 대한 정보를 수집
  신원 정보에는 개인 데이터(employee names, email addresses)
  - APT32는 베트남 해킹그루브 웹 공격을 사용
  [https://malpedia.caad.fkie.fraunhofer.de/actor/apt32]
  - 사용 소프트웨어 : Cobalt Strike, Denis, Goopy, ipconfig, Kerrdown, KOMPROGO
       Mimikatz, Net, netsh, OSX_OCEANLOTUS.D, PHOREAL, SOUNDBITE      WINDSHIELD   
  -Magic Hound는 이란의 해킹그룹으로 사이버 스파이 역할을 함
  [https://attack.mitre.org/groups/G0059/]
  - 사용 소프트웨어 : DownPaper, Mimikatz, PsExec, Pupy
  - .001 Credentials
  =>공격자는 사용할 수 있는 피해자의 자격 증명을 수집, 정보 피싱같은 방법으로 피해자로부터 자격 증명을 수집 / 자격 증명 정보는 온라인 또는 액세스 가능한 데이터 세트
  - .002 Email Addresses
  => 공격자는  사용할 수 있는 이메일 주소를 쉽게 수집(소셜미디어 및 웹사이트)
  - .003 Employee Names
  => 공격자는 직원 이름을 쉽게 수집(소셜미디어 및 웹사이트)
• T1590 Gather victim Network Information(피해자 네트워크 정보 수집)
  HAFNIUM은 중국 사이버 스파이 그룹
  [https://attack.mitre.org/groups/G0125/]
  [https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/]
  => 공격자는 사용할 수 있는 피해자의 네트워크에 대한 정보를 수집
  네트워크에 대한 정보에는 관리 데이터(IP, Domain name)
  공격자는 Active Scanning or Phishing for information을 통한 수집
  Ex) Open Technical Database 검색, Open Websites/Domains 검색 등
  
  Windows Exchange [CVE-2021-026855]
  [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855]
  Microsoft Exchange RCE [CVE-2021-27065]
  [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27065]
  
  - .001 Domain Properties
  피해자 도메인 및 해당 속성에 대한 정보 수집
  Ex) 기술 데이터, 웹 사이트/도메인 , 운영 리소스 구축
  - .002 DNS
  DNS/ 수동 DNS 를 통해 세부 정보를 쿼리하거나 수집
  등록된 서버와 대상의 하위 도메인, 메일 서버 및 기타 호스트에 대한  주소 지정
  - .003 Network Trust Dependencies
  네트워크 신뢰 종속성에 대한 정보를 수집
  네트워크 액세스를 연결한 외부의 조직 및 도메인 정보
  - .004 Network Topology
  네트워크 토폴로지에 대한 정보 수집
  외부 및 내부 네트워크 환경의 물리적 및 논리적 배열
  Ex) GateWay, Router
  - .005 IP Addresses
  IP 주소를 수집
  조직 규모, 물리적 위치, 인터넷 서비스 제공업체 , 호스팅되는 위치 정보
  - .006 Network Security Appliances
  네트워크 보안 어플라이언스에 대한 정보 수집
  배포된 방화벽, 필터, 프록시의 존재 정보
  
  
• T1591 Gather Victim Org Information(피해자 조직 정보 수집)
  사용할 수 있는 피해자의 조직에 대한 정보를 수집
  부서/부서의 이름, 비지니스 운영의 세부 사항, 주용 직원의 역할 및 책임 정보
  - .001 Determine Physical Locations
  물리적 위치 수집, 주요 리소스 및 기반시설 위치 수집
  - .002 Business Relationships
  비지니스 관계에 대한 정보 수집
  하드웨어 및 소프트웨어 리소스에 대한 공급망과 배송경로
  - .003 Identify Business Tempo
  - .004 Identify Roles

T1598 Phishing for information(정보를 위한 피싱)
스피어피싱 : 특정인의 정보를 캐내기 위한 피싱 공격
APT28(러시아 군부대) : [https://attack.mitre.org/groups/G0007/]
ZIRCONIUM(중국) : [https://attack.mitre.org/groups/G0128/]
민감한 정보를 끌어내기 위해 피싱 메시지를 보낼 수 있음
정보 피싱은 정보, 자격 증명, 실행 가능한 정보를 이용하여 대상을 속이려는 행위
악성코드 실행 X => 피해자로부터 데이터 수집 O
사회공학기법을 사용한 피싱 : 이메일, 메세지 등을 통해 정보 수집

Microsoft Exchange Software RCE [CVE-2020-0688]
[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0688]
Microsoft Exchange Software RCE [CVE-2020-17144]
[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17144]
Windows GDI Elevation of Privilege Vulnerability [CVE-2017-005]
[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0005]
Win32k Elevation of Privilege Vulnerability [CVE-2019-0803]
[https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0803]

- .001 Spearphishing Service
- .002 Spearphishing Attachment
- .003 Spearphishing Link

 

• T1597 Search Closed Sources(폐쇄된 소스 검색)
  비공개 소스에서 피해자에 대한 정보를 검색 및 수집
  공격자는 다크 웹이나 암시장에서 정보 구매 가능
  - .001 Threat Intel Vendors
  - .002 Purchase Technical Data
  
• T1596 Search Open Technical Databases(개방 기술 데이터베이스 검색)
  - .001 DNS/Passive DNS
  DNS 데이터에서 검색 가능
  DNS 정보에는 등록된 이름 서버와 대상의 하위 도메인, 메일 서버 및 호스트에 대한 주소 지정 정보가 포함
  - .002 WHOIS
  공개 WHOIS 데이터에서 지정하는 희생자에 대한 정보를 검색 가능
  WHOIS 데이터는 도메인 이름과 같은 인터넷 리소스 할당 및 할당을 담당하는 지역 RIR에 의해 저장된다. 누구나 WHOIS 서버에 할당된 IP 차단, 연락처 정보, DNS 네임서버 등 등록된 도메인에 대한 정보를 쿼리 가능
  - .003 Digital Certificates
  디지털 인증서 데이터를 검색하여 실행 가능한 정보를 수집 가능
  온라인 리소스 및 조회 도구를 사용하여 인증서에 대한 정보를 사용 가능
  디지털 인증서 데이터는 조직에서 서명한 아티팩트에서 사용 가능
  - .004 CDNs
  CDN을 사용하면 조직에서 로드 밸런싱된 분산 서버 어레이의 콘텐츠를 호스팅
  온라인 리소스와 조회 도구를 사용하여 CDN 내의 콘텐츠 서버에 대한 정보를 수집
  - .005 Scan Databases
  온라인 리소스와 조회 도구를 사용하여 스캔 데이터베이스에서 검색가능
  이미 식별된 표적에 대한 정보를 찾거나 데이터세트를 사용하여 침해 가능성을 엿볼 수 있다
  
  
• T1593 Search Open Websites/Domains(열린 웹사이트/도메인 검색)
  Sandworm Team [러시아의 GRU 군부대] [https://attack.mitre.org/groups/G0034/]
  Kimsuky [북한] [https://attack.mitre.org/groups/G0094/]
  무료로 사용 가능한 웹사이트 및 도메인을 검색할 수 있습니다.
  수집하려는 정보에 따라 다양한 온라인 사이트에서 검색 가능
  피해자에 대한 정보는 소셜 미디어, 새로운 사이트 또는 요청/보상 계약과 같은 비즈니스 운영에대한 정보를 호스팅하는 사이트와 같은 다양한 온라인 사이트에서 사용 가능
  
  Windows OLE RCE [CVE-2014-4144]
  [https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-4114]
  Kimsuky
  [https://blog.malwarebytes.com/threat-intelligence/2021/06/kimsuky-apt-continues-to-target-south-korean-government-using-appleseed-backdoor/]
  
  - .001 Social Media
  - .002 Search Engines

 

• T1594 Search Victim-Owned Websites(피해자 소유 웹사이트 검색)
  Sandworm Team [러시아의 GRU 군부대] [https://attack.mitre.org/groups/G0034/]
  Silent Librarian[이란] [https://attack.mitre.org/groups/G0122/]
  피해자 소유 웹사이트에는 부서/부서 이름, 물리적 위치, 역할 및 연락처 정보와 같은 주요 직원에 대한 데이터를 비롯한 다양한 세부정보 포함
  비지니스 운영 및 관계를 강조하는 세부 정보