TTP(TTPs)와 IOC ( +PoP : Pyramid of Pain )

TTP(TTPs)와 IoC

• 멀웨어 분석 글을 보다가 TTP(TTPs)와 IoC라는 단어를 접하게 되어 정리하게 되었다.

 

 

 

 

TTP(TTPs), IoC, PoP 용어 정리

1. TTP (Tactics, Techniques, and Procedures)
   • TTP란 사이버 공격자가 공격을 계획하고 수행하는 데 사용하는 전략, 기술 및 절차의 집합을 나타내는 용어이다.
   • TTP는 공격자의 행동 양식, 사용하는 도구와 기술, 시스템 침투 및 데이터 유출과 같은 공격 활동에 관련된 모든 측면을 포함한다.
   • TTP 정보를 분석하고 이해하는 것은 사이버 보안 전문가들이 새로운 위협을 탐지하고 방어 전략을 개발하는 데 도움이 된다.
2. IoC (Indicator of Compromise)
   • IoC란 시스템이나 네트워크에 침투한 악의적인 활동을 식별하고 탐지하기 위해 사용되는 특정 행동, 이벤트 또는 상황을 가리키는 정보이다.
   • IoC는 사이버 공격의 흔적이 될 수 있는 IP 주소, 도메인 이름, 악성 파일의 해시 값, 악성 URL 등의 형태로 나타날 수 있다.
   • 보안 솔루션은 IoC를 기반으로 악성 행위를 감지하고 차단하거나 보고할 수 있다.
3. Pyramid of Pain (통증의 피라미드)
   • Pyramid of Pain란 사이버 보안 커뮤니티에서 사용되는 개념으로, 보안 업계에서 유용한 위협 정보의 가치를 설명하는 모델이다.
   • 이 피라미드는 위협 정보의 레벨을 나타내며, 아래로 내려갈수록 더 가치가 있고, 공격자를 추적하고 대응하는 데 더 어려워진다.
   • 피라미드의 아래쪽에는 악성 코드 해시 값과 같은 쉽게 변조 가능한 정보가 있고, 위쪽으로 갈수록 악성 도메인, 악성 IP 주소, 공격자의 TTP와 같은 더 복잡하고 변조하기 어려운 정보가 있다.
   • 피라미드의 높은 수준의 정보는 공격자를 탐지하고 방어하기 위해 더 근본적인 보안 대책을 개발하는 데 도움을 줄 수 있다.

 

 

 

 

고통의 피라미드(The Pyramid of Pain)

• 아래 사진은 PoP(Pyramid of Pain) : 각 지표 별 공격자의 스트레스 분류표)으로, 위협 인텔리전스의 IoC(Indicators of Compromise) 형태를 6단계로 구분한 것이다.
  • 상위 단계로 갈수록 IoC분석이 어렵다.
  • 가장 꼭대기의 TTPs는 Tactisc, Techniques, Proccedures로 정의되어 있다.

  ---

  • 이때 IoC는 침해 사고의 지표로 IP, Hash, Domain 등 정수 값이나 스트링 값을 말한다.
  • 반대로 TTPs는 정수나 스트링으로 나타낼 수 없는 것들을 행위라고 지칭할 수 있으며, Behavior(행위)적 서술로 답할 수 있는 공격 방법을 말한다.

 

 

 

 

TTPs 분류

• 해킹 공격은 6가지 스텝으로 분류할 수 있다.
  1. 최초 침투 Valid Accounts / Exploit Public-facing Application
  2. 접근 권한의 수집 Command line interface / scheduled task / Privilege Escalation
  3. 내부 전파
  4. 악성코드의 실행 service execution (through API)
  5. 흔적 삭제 File Deletion / Masquerading
  6. 웹로그 수집 web shell

 

 

 

 

위장술과 주요 모니터링

• 공격에 사용된 악성 코드를 정상적인 것으로 위장하는 위장 수법은 백신에도 잘 탐지되지 않도록 조작한다.
  • 서비스 명 : Windows Helper Management Service
  • 악성코드 경로 : C:\Windows\System32\wmisrvmonsvc.dll
  • 악성코드 경로 : C:\Windows\System32\nwsapagentmonsvc.dll
  • 악성코드 경로 : C:\Windows\System32\irmonsvcstd.dll
  • 악성코드 경로 : C:\Windows\System32\perfcon.dat
  • 악성코드 경로 : C:\Windows\Temp\taskhost.exe
  • 악성코드 경로 : C:\Windows\Temp\taskhostex.exe
  • 악성코드 경로 : C:\Windows\Temp\ntuser.dat
  • 악성코드 경로 : C:\Windows\Temp\service_dll.txt
  • 악성코드 경로 : C:\Windows\javaw.exe
  • 악성코드 경로 숫자 자리 : C:\Windows\SoftwareDistribution\Download\BIT[ 4 ].tmp

 

 

 

 

주요 모니터링 지점

• 아래 경로들은 악성코드 생성시 자주 악용되는 경로이다.
  • System32
  • Windows
  • Windows\TEMP
  • Windows\SoftwareDistribution\Download

 

 

---

 

 

 

TTP(s) 기반 공격

계정정보 탈취 브루트 포트 공격 & 로컬 시스템 계정 탐색

• 공격자는 먼저 수집 된 정보를 바탕으로 계정 정보를 탈취하려고 무작위로 로그인을 시도하게 되어 있다.
  • IP별 접속자 제한
  • 시스템 로그의 무작위 접속은 없는지 모니터링

---

• 로컬 시스템이나 계정등을 탐색하여 파라미터를 모니터링 하는 일도 중요하다.
  • cmd.exe /c "net user > "%s" 2>&1" edg173F.tmp
  • cmd.exe /c "net user Administrator > "%s" 2>&1" edg173F.tmp
  • cmd.exe /c "query user Administrator > "%s" 2>&1" edg173F.tmp
• 네트워크 내 다른 시스템을 탐색하는 방법도 있다.
  • cmd.exe /c "net view > "%s" 2>&1" edg173F.tmp
  • cmd.exe /c "ipconfig /all > "%s" 2>&1" edg173F.tmp
  • cmd.exe /c "arp -a > "%s" 2>&1" edg173F.tmp
  • cmd.exe /c "C:\Windows\System32\inetsrv\appcmd.exe list site > "%s" 2>&1"edg173F.tmp