1. MITRE ATT&CK Framework ID
1.1 개념
MITRE ATT&CK Framework의 ID는 공격자의 전술(Tactics)과 기술(Techniques)을 체계적으로 식별하고 분류하기 위한 고유 식별자이다.
MITRE ATT&CK Framework가 궁금하다면..!
MITRE ATT&CK Framework
https://www.igloo.co.kr/security-information/mitre-attck-framework-%EC%9D%B4%ED%95%B4%ED%95%98%EA%B8%B0/ MITRE ATT&CK Framework 이해하기💌 후속 콘텐츠, 계속 받아보세요 ▶ 01. 개요 지금도 사이버 공간을 위협하려는 공격
xsreem.tistory.com
1.2 종류
| 객체 유형 | 형식 | 정의 | 역할 |
| Tactic | TAxxxx | 공격 단계별 목적 | 공격 흐름의 상위 단계 정의 |
| Technique | Txxxx | 공격 기법 | 공격 행위의 방법 정의 |
| Sub-technique | Txxxx.yyy | 세부 공격 기법 | 실제 행위·로그 매핑 단위 |
| Group (Intrusion Set) | Gxxxx | 위협 행위자 집합 | 공격 주체 식별 |
| Software | Sxxxx | 공격에 사용된 도구·악성코드 | 공격 수단 식별 |
| Campaign | Cxxxx | 특정 공격 캠페인 | 시기·목적 단위 공격 묶음 |
| Mitigation | Mxxxx | 대응·방어 조치 | 방어 전략 정의 |
| Data Source | DSxxxx | 수집 가능한 데이터 유형 | 탐지 관점 기준 |
| Data Component | DCxxxx | 데이터 소스의 세부 항목 | 로그 수준 탐지 기준 |
| Asset | Axxxx | 보호 대상 자산 | 환경·대상 정의 |
1.3 공격 행위와 관련된 객체
| 객체 | 형식 | 정의 | 역할 | 관계 |
| TA (Tactic) | TAxxxx | 공격자가 특정 단계에서 달성하고자 하는 목적 | 공격 흐름을 단계별로 구분하는 기준 제공 | 최상위 개념으로, 하나의 TA 아래에 여러 Technique가 존재 |
| Technique | Txxxx | 공격 목적을 달성하기 위해 수행하는 대표적인 공격 기법 | 공격 행위를 분류·분석하는 핵심 단위 | 하나의 Technique는 특정 TA에 속하며, 필요 시 여러 Sub-technique로 세분화됨 |
| Sub-technique | Txxxx.yyy | Technique의 구체적인 구현 방식 또는 수단 | 실제 로그·행위와 직접 매핑되는 분석 단위 | 반드시 상위 Technique에 종속되며, Technique의 세부 유형을 설명 |
2. Tactic ID
2.1 Tactic ID 개념
공격자가 공격 과정의 각 단계에서 달성하려는 목적을 식별하기 위해 사용되는 상위 분류 식별자이다.
공격 흐름을 단계별로 구분하는 기준을 제공한다.
2.2 Enterprise Tactic ID 정리
총 14개로 구성되어 있다.
| Tactic ID | 이름 | 설명 |
| TA0043 | 정찰 (Reconnaissance) | 내부장침관계로 다른 시스템으로 이동하기 위해 탐구하는 단계 |
| TA0042 | 자원 개발 (Resource Development) | 다른 시스템으로 이동하기 위한 정보나 계정 등을 확보하는 단계 |
| TA0001 | 초기 접근 단계 (Initial Access) | 네트워크 진입을 위해 사용자 환경에 대한 정보를 취득하는 것을 목적으로 함 |
| TA0002 | 실행 (Execution) | 공격자가 로컬 또는 원격 시스템 등을 통해 악성코드를 실행하기 위한 행동 |
| TA0003 | 지속 (Persistence) | 공격 기반을 유지하고 시스템에 지속적으로 접근하기 위한 행동 |
| TA0004 | 권한 상승 (Privilege Escalation) | 공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 행동 |
| TA0005 | 방어 회피 (Defense Evasion) | 공격자가 침입한 사실을 탐지 당하지 않는 것을 피하기 위한 행동 |
| TA0006 | 접속 자격 증명 (Credential Access) | 시스템, 도메인 서비스, 자격증명 등을 접근하거나 제어하기 위한 행동 |
| TA0007 | 탐색 (Discovery) | 시스템 및 내부 네트워크의 정보를 얻기 위한 행동 |
| TA0008 | 내부 확산 (Lateral Movement) | 네트워크 상의 원격 시스템에 접근하거나 이동 제어하기 위한 행동 |
| TA0009 | 수집 (Collection) | 공격목적이나 관련 정보가 포함된 데이터를 수집하기 위한 행동 |
| TA0011 | 명령 및 제어 (Command and Control) | 공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위한 행동 |
| TA0010 | 유출 (Exfiltration) | 공격자가 네트워크에서 데이터를 훔치기 위한 행동 |
| TA0040 | 임팩트 (Impact) | 공격목표의 가용성과 무결성을 손상시키기 위한 행동 |
3. Technique ID
[TA0001] Initial Access
| ID | Name | 설명 |
| T1659 | Content Injection | 공격자가 웹사이트, 웹 애플리케이션, 광고 네트워크 등 정상 콘텐츠 전달 경로에 악성 콘텐츠를 삽입하여 사용자가 이를 로드하도록 만드는 기법 |
| T1189 | Drive-by Compromisse | 사용자가 악성 웹사이트 또는 침해된 정상 웹사이트를 방문하는 것만으로, 취약점을 악용당해 코드 실행이나 악성 파일 다운로드가 발생하는 기법 |
| T1190 | Exploit Public Facing Application | 공격자가 인터넷에 노출된 서버 애플리케이션의 취약점을 악용해 원격 코드 실행, 명령 실행, 웹셸 업로드 등을 수행하는 기법 |
| T1133 | External Remote Service | 공격자가 외부 원격 접속 서비스(VPN, RDP, SSH 등)를 이용해 대상 환경에 접근하는 기법 |
| T1200 | Hardware Additions | 공격자가 시스템에 하드웨어 장치를 물리적으로 추가하여 악성 코드를 실행하거나 추가 접근 권한을 얻는 기법 |
| T1566 | Phishing | 공격자가 전자메일, 메시지 등 사회공학적 수단을 사용해 사용자를 속이고, 악성 콘텐츠 실행 또는 자격 증명 입력을 유도하는 기법 T1566.001 Spearphishing Attachment T1566.002 Spearphishing Link T1566.003 Spearphishing via Service T1566.004 Spearphishing Voice |
| T1091 | Replication Through Removable Media | 공격자가 이동식 매체를 통해 악성코드를 복제·전파하여 대상 시스템에 접근하는 기법 |
| T1195 | Supply Chain Compromise | 공격자가 소프트웨어 공급망의 신뢰 요소(업데이트, 배포 서버, 코드 저장소 등)를 침해하여, 정상 소프트웨어를 통해 악성 코드를 전달하는 기법 T1195.001 Compromise Software Dependencies and Development Tools T1195.002 Compromise Software Supply Chain T1195.003 Compromise Hardware Supply Chain |
| T1199 | Trusted Relationship | 공격자가 신뢰 관계에 있는 외부 조직이나 계정을 악용하여 대상 환경에 접근하는 기법 |
| T1078 | Valid Accounts | 공격자가 신뢰 관계에 있는 외부 조직이나 계정을 악용하여 대상 환경에 접근하는 기법 T1078.001 Default Accounts T1078.002 Domain Accounts T1078.003 Local Accounts T1078.004 Cloud Accounts |
| T1669 | Wi-Fi Network | 공격자가 무선 네트워크 환경을 악용하여 대상 시스템 또는 네트워크에 초기 접근을 수행하는 기법 |
https://xsreem.tistory.com/243
[TA0002] Execution
| ID | Name | 설명 |
| T1651 | Cloud Administration Command | 공격자가 클라우드 환경의 관리 명령(API, CLI)을 사용해 리소스를 생성·변경·삭제하거나 권한을 조작하는 기법 |
| T1059 | Command and Scripting Interpreter | 공격자가 명령 해석기 또는 스크립트 엔진을 사용해 명령을 실행하는 기법 |
| T1609 | Container Administration Command | 공격자가 컨테이너 관리 인터페이스를 통해 컨테이너를 제어하거나 명령을 실행하는 기법 |
| T1610 | Deploy Container | 공격자가 새 컨테이너를 배포하여 악성 코드를 실행하거나 지속성을 확보하는 기법 |
| T1675 | ESXi Administration Command | 공격자가 VMware ESXi 하이퍼바이저 관리 명령을 사용해 가상 머신이나 호스트를 제어하는 기법 |
| T1203 | Exploitation for Client Execution | 공격자가 클라이언트 애플리케이션의 취약점을 악용해 코드 실행을 달성하는 기법 |
| T1674 | Input Injection | 공격자가 입력 데이터 처리 로직을 악용해 의도하지 않은 명령이나 코드를 실행시키는 기법 |
| T1559 | Inter-Process Communication | 공격자가 프로세스 간 통신(IPC) 메커니즘을 악용해 코드 실행 또는 동작 트리거를 수행하는 기법 T1559.001 Component Object Model T1559.002 Dynamic Data Exchange T1559.003 XPC Services |
| T1106 | Native API | 공격자가 운영체제의 네이티브 API를 직접 호출해 동작을 수행하는 기법 |
| T1677 | Poisoned Pipeline Execution | 공격자가 CI/CD 파이프라인 또는 빌드·배포 과정을 오염시켜 악성 코드를 실행시키는 기법 |
| T1053 | Scheduled Task/Job | 공격자가 예약 작업 메커니즘을 사용해 명령이나 프로그램을 실행하는 기법 T1053.002 At T1053.003 Cron T1053.005 Scheduled Task T1053.006 System Timers T1053.007 Conainer Orchestration Job |
| T1648 | Serverless Execution | 공격자가 서버리스 컴퓨팅 환경에서 코드를 실행하는 기법 |
| T1129 | Shared Modules | 공격자가 공유 라이브러리 또는 모듈을 로드·변조해 코드 실행을 달성하는 기법 |
| T1072 | Software Deployment Tools | 공격자가 조직의 소프트웨어 배포 도구를 사용해 악성 코드를 배포·실행하는 기법 |
| T1569 | System Services | 공격자가 시스템 서비스를 생성·수정·시작하여 프로그램을 실행하는 기법 T1569.001 Launchctl T1569.002 Service Execution T1569.003 Systemctl |
| T1204 | User Execution | 공격자가 사용자의 직접적인 실행 행위를 유도해 악성 코드를 실행시키는 기법 T1204.001 Malicious Link T1204.002 Malicious File T1204.003 Malicious Image T1204.004 Malicious Copy and Paste T1204.005 Malicious Library |
| T1047 | Windows Management Instrumentation | 공격자가 WMI 인터페이스를 사용해 명령 실행, 원격 관리, 이벤트 트리거를 수행하는 기법 |
[TA0003] Persistence
| ID | Name | 설명 |
| T1098 | Account Manipulation | |
| T1197 | BITS Jobs | |
| T1547 | Boot or Logon Autostart Execution | |
| T1037 | Boot or Logon Initialization Execution | |
| T1671 | Cloud Application Integration | |
| T1554 | Compromise Host Software Binary | |
| T1136 | Create Account | |
| T1543 | Create or Modify System Process | |
| T1546 | Event Triggered Execution | |
| T1668 | Exclusive Control | |
| T1133 | External Remote Service | |
| T1574 | Hijeck Execution Flow | |
| T1525 | Implant Internal Image | |
| T1556 | Modify Authentication Process | |
| T1112 | Modify Registry | |
| T1137 | Office Application Startup | |
| T1653 | Power Setting | |
| T1542 | Pre-OS Boot | |
| T1053 | Scheduled Task/Job | |
| T1505 | Server Software Component | |
| T1176 | Software Extensions | |
| T1205 | Traffic Signaling | |
| T1078 | Valid Accounts |
[TA0003] Persistence
4.Sub-technique ID
4.1 개념
4.2 TA별 T ID
어마어마하다.. 사실 더 있다.!!!
https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
5. Group
6. Sowftware
7. Campaigns
'Program > 토스뱅크 사이버보안 엔지니어 부트캠프(공격&방어 기술)' 카테고리의 다른 글
| KAPE(Kroll Artifact Parser and Extractor) (0) | 2025.12.30 |
|---|---|
| Havoc Framework (0) | 2025.12.17 |
| [APT] APT29 POSHSPY (0) | 2025.12.09 |
| [System] svchost (0) | 2025.11.19 |
| [System] DLL (0) | 2025.11.18 |
