| 단계 |
내용 |
|
정찰
(Reconnaissance)
|
- 능동적 스캐닝
- 공개 정보(OSINT), 다크 웹 등을 통한 대상 정보(호스트, 신원, 네트워크, 조직) 수집
- 피싱, 소셜 엔지니어링을 통한 정보 수집
|
|
공격 자원 개발
(Resource Development)
|
- 공격에 필요한 다양한 도구들을 개발 및 확보하는 과정
- 도메인, 서버, 이메일, 계정 생성
- 악성 코드 개발 등
|
|
초기 접근
(Initial Access)
|
- 워터링 홀 (Drive by Compromise)
- 공급망 공격
- 공개된 서비스의 취약점 악용
- 외부 원격 서비스(VPN)를 활용한 침투
- USB Drop과 같은 하드웨어를 활용한 침투
- 스피어 피싱을 통한 내부 침투
- 신뢰할 수 있는 제 3자를 활용한 침투
- 취약한 크리덴셜 활용
- Default Credentials, 낮은 강도의 비밀번호 등
- Wi-Fi 접근
|
|
실행
(Execution)
|
- 명령어 및 인터프리터를 악용한 명령어 실행
- 클라우드 관리 서비스를 악용한 명령어 실행
- Container 기능을 악용한 명령어 실행
|
|
지속성 확보
(Persistence)
|
- 계정 추가 및 정보 변경
- 권한 추가
- SSH 인증 키 추가
- 장치 등록
- 자동 시작 프로그램 등록
|
|
권한 상승
(Privilege Escalation)
|
- 알려진 취약점을 활용한 권한 상승
- 0-Day 취약점을 활용한 권한 상승
- 권한 프로세스를 악용한 권한 상승
|
|
방어 회피
(Defense Evasion)
|
|
|
자격 증명 접근
(Credential Access)
|
- 스니핑
- 스푸핑
- Brute Force
- 크리덴셜 덤핑
- 취약한 크리덴셜 활용
- Default Credentials, 낮은 강도의 비밀번호 등
- 기존 자격 증명 도용 및 활용
- 키 로깅
- 클립보드 데이터 수집
- Kerberos 관련 Ticket 훔치기 (AD)
|
|
탐색
(Discovery)
|
- 내부 단계의 정찰 재수행
- 내부 파일 및 로그 탐색
- 내부 크리덴셜 탐색
- 가상 인스턴스 탐색
|
|
측면 이동
(Lateral Movement)
|
- 원격 서비스(SSH, RDP, VNC 등) 악용
- 내부 스피어 피싱
- 알려진 취약점을 활용한 측면 이동
- 0-Day 취약점을 활용한 측면 이동
- 획득한 권한을 활용한 측면 이동
- 내부 Dependency 오염
|
|
수집
(Collection)
|
- 스니핑
- 스푸핑
- 크리덴셜 덤핑
- 키 로깅
- 클립보드 데이터 수집
- 내부 파일 수집
- 외부 서버의 파일 수집
|
|
명령 및 제어
(Command and Control)
|
- 다양한 프로토콜을 활용한 원격 서버와 통신 연결
- HTTP, FTP, Mail, DNS, 리버스 셸 등
|
|
데이터 유출
(Exfiltration)
|
- 외부 C2 서버를 활용한 유출
- 웹 서비스를 활용한 유출
- 코드 저장소를 활용한 유출
- 클라우드를 활용한 유출
- 장악한 인프라를 활용한 유출
- 물리 장치를 활용한 유출
|
|
영향
(Impact)
|
- 비즈니스 및 프로세스 조작을 통한 가용성 저해, 무결성 손상
- 계정 액세스 제거
- 데이터 파기
- 디스크 삭제, 펌웨어 손상 등
- DoS 계열 공격 수행
- 금전적 피해 유도
|
댓글