정보보안 스터디 - 25주차 1일 - CTI 정보 수집

 

☞ 레드팀입장에서의 CTI(cyber threat intelligence)

 

CTI란 원래 블루팀의 방어자들이 APT, 공격자들의 공격을 막기위해서

정보를 수집하고 거기에 맞게 방화벽을 구축한다든지 대응하는 용도로 썼습니다.

레드팀 입장에서의 CTI는

적팀의 TTPs 전략이나 도메인, 정보를 알아야

그 APT처럼 비슷하게 보여서 레드팀 소속이 아니도록 안티포렌식을 할 수도 있고,

군사목적일 경우 APT 침입해서 아군처럼 보일 수 있다는 점이 있습니다. 

 

어쨌든 레드팀 입장에서도  타겟에 대해서 아는것이 많아야 

공격하는 데 계획도 맞춰서 짤 수 있으며 공격 성공률도 높아집니다.

그래서 CTI가 양쪽 모두 중요한 것입니다. 따라서 threat-intel-drive 방식으로 진행해야합니다.

 

보통 engagement에서 아군 블루팀이 CTI정보를 수집해서 레드팀한테 제공해주는 경우가 많습니다.

 

CTI에는 IOCs(Indicators of Compromise), TTPs 등으로 APT그룹이 흔적을 남긴 것을 말합니다.

정보수집 도구 등 TTPs가 확인해보면 굉장히 많습니다.

 

 

 

 

 

cyber kill chain에 맞춰서 TTPs를 넣는 겁니다.

 

 

 

만약 cyber kill chain의 각 항목 이름이 서로 다르다면 동등한 선상에 있는 항목을 매핑해서 작성하도록합니다.

예를 들어 lockheed martin cyber kill chain vs MITRE ATT&CK

 

 

보통 표준 플랫폼, framework로는 MITRE ATT&CK, TIBER-EU, and OST Map 를 많이 활용합니다.

 

이 ATT&CK Navigator를 참고하면 좋습니다. - https://mitre-attack.github.io/attack-navigator/

표준 TTPs 리스트들이 많이 나오고, kill chain에 시각화해서 정리해줬습니다. 또한 본인의 상황에 맞게 계획할 수 있는 장점이 있습니다.

 

https://attack.mitre.org/groups/G0087/

이 둘을 확인해보면 APT에 대해서 그룹이 사용한 툴이나 바이너리나, 전략 개수, TTPs 방식, 구체적인 설명까지 자세하게 나오고 있습니다. 따라서 다양한 정보를 얻고 조사할 수 있습니다.

 

다른 intelligience 정보가 필요해서 framework를 찾는다면 OST Map도 좋습니다.

공격자와 TTPs 를 연결해줘서 시각화합니다.