고통의 피라미드(Pyramid of Pain) 총정리

1. 고통의 피라미드의 개념

 

고통의 피라미드는 2013년에 제시된 것이다. 고통의 피라미드는 피라미드의 일부 지표가 다른 지표보다 적들을 더 괴롭힌다는 것을 보여준다. 아래로 갈수록 공격자에겐 점점 수월한 일이 되는 것이다. 이를 통해 각 기업의 보안 담당자는 대응 방식에 대해 고안할 수 있다.

2. 고통의 피라미드의 각 지표

① 해시 값(Hash Values): 특정 의심스럽거나 악성 파일에 해당하는 SHA1, MD5 또는 기타 유사한 해시다. 해시 값은 특정 악성 코드 샘플이나 침입과 관련된 파일에 대한 고유한 참조를 제공하는 데 자주 사용된다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ 파일 해시값을 기반으로 악성코드 샘플을 검색한다.

⑵ 네트워크를 통해 한 엔드포인트에서 다른 엔드포인트로 악성코드 샘플을 전달한다.

⑶ 보안 스택에 통합을 사용하여 참 긍정(True Positive)의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

② IP 주소(IP Addresses): 이 름에서 알 수 있듯이 넷블록도 포함된다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ 대상 호스트 IP 주소에 대한 연결을 에뮬레이트한다.
⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여, IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

③ 도메인 이름(Domain Names): 도메인 이름 자체 또는 하위 도메인을 말한다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ 대상 네트워크 호스트 도메인 이름에 대한 연결을 에뮬레이트한다.
⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여 IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

④ 네트워크 아티팩트(Network Artifacts): 관찰 가능한 공격자의 네트워크 활동으로, 일반적인 예로는 URI 패턴, 네트워크 프로토콜에 포함된 C2 정보, 고유한 HTTP 사용자 에이전트 또는 SMTP 메일러 값 등이 있다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ URI 패턴, 네트워크 프로토콜에 내장된 C2 정보, 고유한 HTTP 사용자 에이전트 또는 SMTP 메일러 값 등을 포함하여, 대상 네트워크 리소스에 대한 정확한 C&C 프로토콜을 포함한 다양한 트래픽 프로토콜의 콘텐츠와 관련된 관찰 가능 항목을 에뮬레이션한다.
⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여 IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

⑤ 호스트 아티팩트(Host Artifacts): 하나 이상의 호스트에서 악의적인 활동으로 인해 발생하는 관찰 가능 항목으로, 예시로는 특정 악성 코드, 파일 또는 디렉터리 조각에 의해 생성된 것으로 알려진 레지스트리 키 또는 값이 있다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ 특정 위치에 삭제되거나 특정 이름, 설명, 악성 서비스 또는 거의 모든 것을 사용하여 특정 맬웨어, 파일 또는 디렉터리 조각에 의해 생성된 것으로 알려진 레지스트리 키 또는 값의 변경을 포함하여, 하나 이상의 엔드포인트 및 호스트 장치에서 특정 관찰 가능 항목을 에뮬레이션한다.

⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여 IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

⑥ 도구(Tools): 공격자가 임무를 완수하기 위해 사용하는 소프트웨어다. 여기에는 스피어 피싱을 위한 악성 문서를 생성하도록 설계된 유틸리티, C2 또는 비밀번호 크래커를 구축하는 데 사용되는 백도어 또는 기타 호스트 기반 유틸리티가 포함된다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ Tor, Windows 작업 스케줄러, GCC, Powershell 등과 같이 상대방이 임무를 완수하기 위해 사용하는 소프트웨어를 에뮬레이트한다. 소프트웨어 자체는 직접적으로 악성이 아닐 수도 있지만 특정 사용, 시간 또는 위치는 악성이거나 적어도 의심스러울 수 있다.

⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여 IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

 

⑦ 전술, 기법 및 절차(TTP): 정 찰부터 데이터 유출까지, 그리고 그 사이의 모든 단계에서 적이 임무를 완수하는 방법이다.

 

공격자 활동을 에뮬레이션하고 보안 제어를 검증하는 방법

⑴ 행동 패턴을 복제하는 단일 또는 다단계 공격 전술, 기술 및 절차를 에뮬레이트한다. 그리고 캐시된 인증 자격 증명을 Pass-the-Hash 공격에 재사용한다.

⑵ 에뮬레이션 및 보안 스택 통합 분석을 사용하여 IP 주소에 액세스할 수 없는 참 긍정 또는 오류의 격차와 증거에 대한 예방 및 탐지 기술을 측정한다.

3. 고통의 피라미드 작동

고통의 피라미드는 기업의 네트워크 방어자에게 유용한 참고 자료를 제공한다.

예를 들어, 피라미드는 공격자가 공격 체인 내의 엔드포인트를 감염시키기 위해 맬웨어를 사용하는 경우 방어자는 그러한 동작을 탐지하기 위해 파일 해시 값 이상의 것을 사용해야 한다는 것을 알게 될 것이라고 말한다. 이는 공격자가 이 기술을 우회하는 것이 Trivial, 사소한 일이기 때문이다.

마찬가지로, 방어자의 네트워크 보안 제어가 IP 주소, CIDR 블록 또는 ASN 리스트를 사용하여 악의적인 네트워크 통신을 방해하는 경우, 피라미드는 이러한 제어가 우회하기 Easy, 쉽기 때문에 여전히 문제에 처할 수 있다고 제안한다.

4. 고통의 피라미드의 의의

궁극적으로 피라미드는 거의 모든 지표가 시간이 지남에 따라 사라지는 일시적인 가치를 가지고 있음을 보여준다. 여기서 공격자 TTP는 예외다. 따라서 방어자가 기본 아티팩트가 아닌 공격자 행동을 탐지하거나 예방하는 데 중점을 둔다면, 공격자를 더 고통스럽게 만들 수 있는 것이다.

따라서 고통의 피라미드는 보안 제어를 적용해야 하는 지표의 오름차순 우선순위 목록을 제공한다. 각 레벨은 방어자가 다양한 공격 지표를 탐지하고 예방할 수 있는 기회를 제공한다. 예를 들어 해시 값, IP 주소 및 도메인은 AT&T의  Alien Labs Open Threat Exchange(OTX) 와 같은 마이크로 위협 인텔리전스 피드 또는 상업용 위협 인텔리전스 피드를 통해 액세스할 수 있다. 또한, 마이크로 위협 인텔리전스 피드 내에서 관찰 가능한 네트워크 및 호스트 아티팩트를 찾는 것도 가능하다.

그러나 가장 탄력적인 보안 프로그램만이 향후 공격자의 행동을 설명하고 예측하는 데 도움이 되는 TTP 및 절차를 탐지하고 방지하는 기능을 통합한다. 공격자 TTP는 전략적 위협 인텔리전스 보고서, STIX/STIX2와 같은 피드, MITRE ATT&CK와 같은 프레임워크를 통해 사용될 수 있다.

고통의 피라미드의 각 수준에 대한 탐지 및 예방 기능을 갖춘 후에는 각 수준에서 공격자 활동을 에뮬레이션하고 진정한 보안 효율성을 입증하여 보안 기능을 검증하는 것이 중요하다.