티스토리 뷰

Incident Response/MITRE ATT&CK

MITRE ATT&CK - Resource Development

Noctis41 2025. 5. 13. 22:03

2025.05.11 - [Incident Response/MITRE ATT&CK] - MITRE ATT&CK - Reconnaissance

 

MITRE ATT&CK - Reconnaissance

2025.05.09 - [Incident Response/MITRE ATT&CK] - MITRE ATT&CK란? MITRE ATT&CK란?서론: 왜 MITRE ATT&CK가 필요한가?사이버 공격은 더 이상 단일 벡터나 단순한 악성코드로 설명되지 않는다. 오늘날 공격자들은 정찰에

infosec-noh.tistory.com

1. Resource Development 전술(TA0042)

1.1 정의

Resource Development 전술은 MITRE ATT&CK 프레임워크 내에서 공격자가 실제 사이버 작전을 수행하기 전, 공격 준비를 위한 자산(resource)을 확보하거나 개발하는 모든 활동을 포괄하는 전술이다. 여기서 자산이란 물리적·가상 인프라, 사용자 계정, 도구(tool), 인증서, 취약점 정보 등 공격 수행에 필요한 기반 요소 전반을 의미한다.

즉, TA0042는 공격자가 다음 단계(예: Initial Access, Execution, Command and Control 등)의 성공 가능성을 높이기 위해 필요한 자산을 "구축(build)", "확보(acquire)", "탈취(compromise)"하는 전반의 과정을 포함하며, 공격 수명주기상 사전 준비(pre-attack stage)에 해당한다.

1.2 공격 수명주기에서의 위치

Resource Development는 다음 도표처럼 전체 공격 수명주기에서 매우 초기 단계에 위치한다:

[ Reconnaissance ][ Resource Development ][ Initial Access ][ Execution ] → ...
  • Reconnaissance: 공격 대상에 대한 정보 수집
  • Resource Development: 수집된 정보를 바탕으로 공격 인프라 및 도구 확보
  • Initial Access 이후: 실제 침투 및 내재화 활동

따라서 이 단계는 단순한 전술적 선택이 아니라, 공격자의 전략적 목표를 실현하기 위한 기반 체계 구성 단계이며, 공격의 정교성과 은닉성을 결정짓는 핵심적인 단계이다.

1.3 공격자 관점에서의 전략적 중요성

공격자는 TA0042 단계를 통해 다음과 같은 목적을 달성하고자 한다:

전략 목표 설명
익명성 확보 구매한 VPS, 도메인, 도용한 계정을 통해 공격자의 실체를 숨기고 추적을 어렵게 함
신뢰성 확보 코드 서명 인증서, 합법적 도메인을 통해 공격 대상의 경계심을 낮춤
탐지 회피 정상 웹서비스, 서버리스 환경을 통해 보안 솔루션의 탐지를 우회함
비용 최소화 IAB를 통해 초기 침입 비용을 절감하고 고위험 구간을 외주화함
공격 자동화 사전에 도구 및 환경을 구성하여 공격 실행을 자동화하고 반복 가능하게 만듦
 

이 단계에서의 자산 선택은 이후 단계의 탐지 가능성, 공격 성공률, 외부 노출 위험도에 직결되므로, 공격자의 기술 수준 및 목표에 따라 매우 다양하고 정교한 전략이 수립된다.

1.4 주요 공격 유형과 연계성

Resource Development는 공격 기술(TTPs) 전체와 다차원적으로 연결되어 있다. 특히 아래와 같은 전술과 밀접한 연계성을 가진다:

  • Initial Access (TA0001): 공격용 계정 및 인프라를 이용한 피싱, 악성 링크 유포 등
  • Command and Control (TA0011): 등록한 도메인과 VPS를 통한 C2 채널 구축
  • Defense Evasion (TA0005): 인증서 기반 코드 서명, 서버리스 인프라 활용으로 탐지 회피
  • Credential Access (TA0006): 탈취된 계정을 재사용하기 위한 계정 확보 활동 포함

1.5 조직 보안 정책 수립 시 고려 사항

Resource Development 전술에 효과적으로 대응하기 위해 조직은 전통적인 보안 방식 외에도 공격 준비단계에 대한 사전 탐지 및 인텔리전스 기반 대응이 필요하다.

주요 고려 사항:

항목 설명
Threat Intelligence 활용 공격자 인프라 구축 동향, 신규 도메인 등록 정보, 악성 VPS IP 블록 목록 수집 및 대응
브랜드 보호 체계 수립 유사 도메인 등록 탐지 및 차단, 피싱 가능성 있는 도메인 사전 신고 체계 구축
공급망 감시 강화 제3자가 악성 리소스를 통해 침입 경로가 되지 않도록 제휴사, 벤더 계정 보안 상태 확인
클라우드 보안 정책 강화 신규 생성되는 클라우드 계정 및 리소스에 대한 무결성 및 보안 설정 모니터링
 

1.6 전술 간 비교 및 차이

전술 목적 대상 시점 예시
Reconnaissance (TA0043) 정보 수집 공격 대상 외부 공격 직전 포트 스캐닝, WHOIS 수집
Resource Development (TA0042) 공격 자원 확보 공격자 내부 환경 사전 구성 VPS 구매, 도구 개발
Initial Access (TA0001) 시스템 침투 공격 대상 내부 실제 실행 피싱, 악성 링크, RDP 침투
 

TA0042는 외부 행위가 포착되기 어려운 단계이므로, 지능형 위협 인텔리전스 및 사전 위협 탐지 체계와 연계한 감시가 필수적이다.

2. Resource Development 전술의 구성 요소

MITRE ATT&CK의 TA0042(Resource Development)는 총 8개의 기술(Technique)로 구성되어 있으며, 각 기술은 다시 세부 하위 기술(Sub-technique)로 분류된다. 본 장에서는 각 기술에 대한 기능적 목적, 세부 동작 방식, 공격 사례, 보안적 대응 방향을 체계적으로 분석한다.

2.1 T1583: Acquire Infrastructure – 인프라 확보

공격자가 공격 준비를 위해 신규 인프라를 직접 구매 또는 생성하는 행위로, 공격 성공률을 높이고 탐지를 회피하는 데 활용된다.

하위 기술 및 설명

T1583.001 – Acquire Infrastructure: Domains

  • 설명: 공격자는 피싱 도메인, 명령 및 제어 서버(C2), 워터링 홀(watering hole) 등을 위해 합법적인 도메인 등록 기관에서 도메인을 구매합니다.
  • 공격 활용:
    • 피싱 이메일의 발신자 주소로 사용
    • C2 인프라의 도메인 이름으로 사용
  • 사례: APT28은 NATO를 사칭하는 도메인을 등록하여 정보 탈취용 피싱 캠페인을 수행했습니다.

T1583.002 – Acquire Infrastructure: DNS Server

  • 설명: 공격자는 독립된 DNS 서버를 직접 운영하여 피해자의 요청을 자신이 제어하는 인프라로 라우팅합니다.
  • 공격 활용:
    • DNS 터널링을 통한 명령 제어(C2) 트래픽 숨기기
    • 피싱/워터링 홀 인프라 지원
  • 사례: Sea Turtle은 자체 DNS 서버를 통해 피해자의 DNS 요청을 가로채고 인증서 탈취 공격을 수행했습니다.

T1583.003 – Acquire Infrastructure: Virtual Private Server (VPS)

  • 설명: 공격자는 익명성과 신속한 배포를 위해 VPS를 임대하거나 확보합니다.
  • 공격 활용:
    • C2 서버 호스팅
    • 악성코드 배포 서버
  • 사례: HAFNIUM 그룹은 미국의 VPS 공급업체에서 여러 VPS를 임대해 Microsoft Exchange 서버 공격의 C2로 사용했습니다.

T1583.004 – Acquire Infrastructure: Server

  • 설명: 공격자는 온프레미스 또는 클라우드 환경에서 서버를 확보하여 악성 페이로드를 호스팅하거나 프록시 역할로 사용합니다.
  • 공격 활용:
    • 이메일 릴레이 서버로 사용
    • 악성 웹 콘텐츠 호스팅

T1583.005 – Acquire Infrastructure: Botnet

  • 설명: 공격자는 기존 봇넷을 구매하거나 서비스를 임대하여 대량 공격을 수행합니다.
  • 공격 활용:
    • 스팸 메일 전송
    • 대규모 DDoS
    • 프록시 네트워크 구성
  • 사례: Sandworm 팀은 VPNFilter를 활용하여 수십만 대의 라우터로 구성된 봇넷을 형성했습니다.

T1583.006 – Acquire Infrastructure: Web Services

  • 설명: Google Drive, Dropbox, GitHub 등 공개된 웹 서비스를 악용하여 C2, 데이터 유출, 페이로드 전달 등을 수행합니다.
  • 공격 활용:
    • Pastebin에 C2 명령 업로드
    • Google Docs를 통한 키로깅 전송
  • 사례: APT32는 Dropbox를 악성코드 명령 및 페이로드 채널로 사용했습니다.

T1583.007 – Acquire Infrastructure: Serverless

  • 설명: AWS Lambda, Google Cloud Functions 같은 서버리스 컴퓨팅 환경을 등록 및 구성하여 C2 트래픽의 중간 노드로 사용합니다.
  • 공격 활용:
    • 정적 분석 회피
    • 클라우드 기반 트래픽 은닉
  • 사례: UNC2452/SUNBURST 캠페인에서는 서버리스 함수를 통해 트래픽을 라우팅한 정황이 보고되었습니다.

T1583.008 – Acquire Infrastructure: Malvertising

  • 설명: 공격자는 합법적인 광고 플랫폼을 통해 악성 광고(malvertisements)를 게재합니다.
  • 공격 활용:
    • 클릭 시 악성사이트 리디렉션
    • 워터링 홀 공격 유도
  • 사례: TA505는 Google Ads와 Bing 광고 시스템을 통해 가짜 PDF 리더 배포 페이지로 유도하는 광고를 게시했습니다.

2.2 T1584: Compromise Infrastructure – 인프라 탈취

공격자가 기존의 정상 인프라(서버, 도메인, VPS 등)를 침해하여 재활용하는 기술. 탐지 우회와 비용 절감이 주된 목적이다.

하위 기술

T1584.001 – Domains

  • 설명: 공격자는 도메인 등록 정보를 탈취하거나, 서브도메인 하이재킹을 통해 합법적인 도메인을 악용합니다.
  • 사례: APT1은 합법적인 웹사이트의 FQDN을 하이재킹하여 공격에 활용하였습니다.

T1584.002 – DNS Server

  • 설명: 공격자는 DNS 서버를 침해하여 DNS 레코드를 조작하고, 트래픽을 자신이 제어하는 인프라로 리디렉션합니다.
  • 사례: Sea Turtle은 피해자의 DNS 레코드를 수정하여 자신이 제어하는 DNS 서버를 통해 모든 DNS 조회에 응답하도록 설정하였습니다.

T1584.003 – Virtual Private Server (VPS)

  • 설명: 공격자는 제3자의 VPS를 침해하여 명령 및 제어(C2) 서버로 활용하거나, 악성 도구를 호스팅합니다.

T1584.004 – Server

  • 설명: 공격자는 웹 서버를 포함한 다양한 서버를 침해하여 악성 페이로드를 호스팅하거나, 워터링 홀(Watering Hole) 공격을 수행합니다.
  • 사례: Dragonfly 그룹은 합법적인 웹사이트를 침해하여 C2 및 악성 모듈을 호스팅하였습니다.

T1584.005 – Botnet

  • 설명: 공격자는 다수의 제3자 시스템을 침해하여 봇넷을 구성하고, 이를 통해 대규모 피싱, DDoS 공격 등을 수행합니다.
  • 사례: Sandworm Team은 SOHO 네트워크 장비를 대상으로 대규모 봇넷을 구성하여 공격을 수행하였습니다.

T1584.006 – Web Services

  • 설명: 공격자는 GitHub, Dropbox, Google Drive 등 웹 서비스를 침해하거나 악용하여 악성 페이로드를 호스팅하거나, 명령 및 제어(C2) 채널로 활용합니다.
  • 사례: Turla 그룹은 WordPress 사이트를 침해하여 C2 인프라로 활용하였습니다. 

T1584.007 – Serverless

  • 설명: 공격자는 AWS Lambda, Azure Functions 등 서버리스 환경을 침해하거나 악용하여 악성 코드를 실행하거나, C2 채널로 활용합니다.

T1584.008 – Network Devices

  • 설명: 공격자는 SOHO 라우터, VPN 장비 등 네트워크 장비를 침해하여 피싱 캠페인, C2 인프라, 프록시 서버 등으로 활용합니다.
  • 사례: APT28은 Ubiquiti 네트워크 장비를 침해하여 피싱 웹페이지를 통해 수집된 자격 증명을 저장하는 데 활용하였습니다. 

2.3 T1585: Establish Accounts – 공격자 계정 생성

공격자는 공격에 활용할 목적으로 위장된 계정(SNS, 이메일, 클라우드)을 직접 생성한다. 이는 사회공학, 피싱, C2 등에 폭넓게 사용된다.

하위 기술

T1585.001: Social Media Accounts

공격자는 Facebook, LinkedIn, Twitter 등 소셜 미디어 플랫폼에서 가짜 계정을 생성하여 신뢰할 수 있는 인물로 가장하고 피해자와의 관계를 구축합니다.

  • 활용 방법:
    • 피해자와의 연결을 통해 사회공학 공격 수행
    • 악성 링크 또는 첨부파일 전송
    • 정보 수집 및 추가 계정 침해 시도
  • 실제 사례:
    • APT32는 가짜 Facebook 페이지를 생성하여 공격을 수행하였습니다.
    • Cleaver는 LinkedIn에서 가짜 프로필을 생성하여 피해자와 연결하였습니다.
    • CURIUM은 Facebook과 LinkedIn에서 가짜 계정을 생성하여 피해자와의 관계를 구축하였습니다.
  • T1585.002: Email Accounts
    공격자는 Gmail, Outlook 등 이메일 서비스를 이용하여 새로운 계정을 생성하고 이를 피싱 캠페인, 스팸 발송, 인프라 등록 등에 활용합니다.
    • 활용 방법:
      • 피싱 이메일 발송
      • 인프라 등록을 위한 이메일 주소 사용
      • 가짜 신원을 위한 이메일 계정 생성

    • 사례: BEC(기업 이메일 침해) 공격자들이 결제 사기 목적으로 위장 이메일 계정 대량 생성.
    • 방어: 도메인 유사도 기반 사전 차단, DMARC/SFP 설정 강제 적용.
  • T1585.003: Cloud Accounts
    공격자는 AWS, Microsoft 365, Google Cloud 등 클라우드 서비스를 이용하여 계정을 생성하고 이를 명령 및 제어(C2), 데이터 유출, 도구 업로드 등에 활용합니다.
    • 활용 방법:
      • 클라우드 스토리지를 이용한 데이터 유출
      • 가상 머신을 이용한 C2 인프라 구축
      • 도구 업로드 및 배포

    • 사례: UNC2452가 Azure 인프라를 이용해 인증 토큰을 저장 및 전달.
    • 방어: 클라우드 계정 생성 로그 분석, 조직 외부 리소스 연결 탐지 정책 수립.

2.4 T1586: Compromise Accounts – 계정 탈취

공격자는 기존의 정상 계정을 탈취하여 공격 인프라로 재활용하거나 내부 접근에 활용한다.

주요 하위 기술

  • T1586.001: Social Media Accounts
    공격자는 Facebook, LinkedIn, Twitter 등 소셜 미디어 계정을 침해하여 사회공학 공격에 활용합니다.
  • 침해 방법:
    • 피싱을 통한 자격 증명 수집
    • 브루트 포스 공격
    • 데이터 유출로 인한 자격 증명 재사용
  • 활용 방법:
    • 신뢰할 수 있는 인물로 가장하여 피해자와 연결
    • 악성 링크 또는 첨부파일 전송
    • 추가 정보를 수집하거나 다른 계정 침해 시도
  • 실제 사례:
    • Leviathan 그룹은 소셜 미디어 계정을 침해하여 사회공학 공격을 수행하였습니다.

 

  • T1586.002: Email Accounts
    공격자는 이메일 계정을 침해하여 피싱 캠페인, 스팸 발송, 내부 통신 감시 등에 활용합니다.
  • 침해 방법:
    • 피싱을 통한 자격 증명 수집
    • 브루트 포스 공격
    • 자격 증명 유출 데이터 구매
    • 내부자 매수
  • 활용 방법:
    • 피싱 이메일 발송
    • 기존 이메일 스레드 하이재킹
    • 내부 정보 수집
    • 기타 인프라 침해 시도
  • 실제 사례:
    • APT28은 침해된 이메일 계정을 사용하여 자격 증명 피싱 이메일을 발송하였습니다.

 

  • T1586.003: Cloud Accounts

공격자는 AWS, Microsoft 365, Google Workspace 등 클라우드 계정을 침해하여 다양한 악의적인 활동을 수행합니다.

  • 침해 방법:
    • 피싱을 통한 자격 증명 수집
    • 자격 증명 유출 데이터 구매
    • 패스워드 스프레이 공격
    • 애플리케이션 액세스 토큰 탈취
  • 활용 방법:
    • 클라우드 스토리지에 악성 도구 업로드
    • 명령 및 제어(C2) 인프라로 활용
    • 스팸 또는 피싱 메시지 발송
    • 기타 인프라 침해 시도
  • 실제 사례:
    • APT29는 Azure 가상 머신을 사용하여 피해자 환경에 대한 접근을 은폐하였습니다.
    • 방어: 인증정보 노출 여부 점검, MFA 의무화, 역할 기반 권한 최소화(RBAC).

2.5 T1587: Develop Capabilities – 공격 기능 개발

공격자가 직접 악성코드, 인증서, 익스플로잇 등을 개발하여 맞춤형 공격을 수행한다.

하위 기술

  • T1587.001: Malware
    맞춤형 백도어, RAT, 정보 탈취 도구 등 제작.
    • 사례: APT41이 "Sidewalk" 백도어를 독자적으로 개발하여 여러 산업에 사용.
  • T1587.002: Code Signing Certificates
    공격자는 자체 서명 또는 비정상적 경로로 인증서를 생성하여 악성 코드에 신뢰성을 부여.
    • 사례 : Daggerfly 그룹은 악성 macOS 파일에 서명하기 위해 코드 서명 인증서를 생성하였습니다. 
    • 방어: 서명 인증서 유효성 검증, 자가 서명 탐지 필터 적용.
  • T1587.003: Digital Certificates
    공격자는 SSL/TLS 인증서를 자체적으로 생성하여 악성 도메인에 적용함으로써 트래픽을 암호화하고 탐지를 회피합니다.
    • 사례 : APT29는 악성 코드의 상호 TLS 인증을 위해 자체 서명된 디지털 인증서를 생성하였습니다.
  • T1587.004: Digital Certificates
    공격자는 알려진 취약점을 악용하기 위해 익스플로잇 코드를 자체적으로 개발합니다.
    • 사례 : 공격자는 퍼징(fuzzing)과 패치 분석을 통해 취약점을 발견하고 익스플로잇을 개발합니다.

2.6 T1588: Obtain Capabilities – 공격 기능 확보

공격자가 다크웹, 해킹 포럼, 보안 커뮤니티 등에서 기성 도구, 코드, 인증서를 획득하여 사용.

하위 기술

  • T1588.001: Malware
    공격자는 페이로드, 드로퍼, 백도어, C2 프로토콜 등 다양한 형태의 악성 코드를 구매, 다운로드 또는 탈취하여 공격에 활용합니다.
    • 사례 : 러시아의 Unit 29155 사이버 작전 부대는 공개적으로 이용 가능한 악성 코드와 로더를 확보하여 작전에 활용하였습니다.
  • T1588.002: Tool
    공격자는 Cobalt Strike, PsExec  등 합법적인 도구를 구매하거나 탈취하여 공격에 활용합니다.
    • 사례 : HAFNIUM 그룹은 Procdump와 같은 도구를 확보하여 침해 후 활동을 지원하였습니다.
  • T1588.003: Code Signing Certificates
    공격자는 악성 코드를 신뢰할 수 있는 소프트웨어로 위장하기 위해 코드 서명 인증서를 구매하거나 탈취합니다.
    • 사례 : 공격자는 프론트 조직을 통해 인증서를 구매하거나, 침해된 조직의 정보를 이용하여 인증서를 발급받습니다.
  • T1588.004: Digital Certificates
    공격자는 SSL/TLS 인증서를 구매하거나 탈취하여 악성 도메인에 적용함으로써 트래픽을 암호화하고 탐지를 회피합니다.
    • 사례 : 공격자는 Let's Encrypt와 같은 무료 인증서를 사용하여 악성 도메인에 HTTPS를 적용합니다.
  • T1588.005: Exploits
    취약점 악용 코드(PoC)를 구매하거나 다운로드하여 초기 침투 또는 권한 상승에 활용.
    • 사례 : Unit 29155는 GitHub에서 CVE 익스플로잇 스크립트를 확보하여 피해자 인프라에 사용하였습니다.
  • T1588.006: Vulnerabilities
    공격자는 취약점 데이터베이스를 모니터링하거나, 취약점 연구자나 기업을 타겟으로 하여 취약점 정보를 확보합니다..
    • 사례 : 공격자는 공개되기 전의 취약점 정보를 확보하여 익스플로잇을 개발하거나 구매합니다.
  • T1588.007: Artificial Intelligence
    LLM 및 AI 도구를 이용하여 피싱 메시지 자동 생성, 악성 문서 자동 작성 등에 활용.
    • 사례 : 공격자는 AI 도구를 사용하여 피싱 이메일을 생성하거나, 악성 코드를 자동으로 개발합니다. 
    • 방어: AI 사용 징후 탐지(대량 유사 메시지, 문장 구조 분석), 문맥 기반 이상 징후 필터링.

2.7 T1650: Acquire Access – 접근 권한 구매

공격자는 초기 접근 브로커(Initial Access Broker)로부터 이미 침해된 기업 시스템 또는 VPN 접근권한을 구매한다.
이는 RaaS, MaaS 등의 서비스형 공격모델에서 일반화된 방식이다.

  • 사례: Lockbit 운영 그룹이 다크웹 포럼을 통해 미국 의료기관의 VPN 접근권한 구매 후 랜섬웨어 실행.
  • 방어: 사내 접근 권한 계정 유출 감지, 다중 인증 강제, 초기 접근 인텔리전스 모니터링.

2.8 T1608: Stage Capabilities – 기능 사전 배치

공격자는 공격 실행 전에 악성코드, 인증서, 명령 스크립트 등을 안전한 위치(공개 저장소, 클라우드 등)에 사전 업로드하여 향후 공격 시 효율적으로 로딩하거나 배포한다.

하위 기술

  • T1608.001: Upload Malware
    공격자는 악성 소프트웨어를 제어하는 인프라나 제3자 플랫폼에 업로드하여 대상 시스템에 접근할 준비를 합니다..
    • 사례1 : APT32는 Dropbox, Amazon S3, Google Drive에 악성 페이로드를 호스팅하였습니다.
    • 사례2 : EXOTIC LILY는 TransferNow, TransferXL, wEtRANSFER, oNEdRIVE 등 파일 공유 서비스를 이용하여 악성 페이로드를 업로드하였습니다.
  • T1608.002: Upload Tool
    공격자는 PsExec와 같은 합법적인 도구를 제어하는 인프라나 제3자 플랫폼에 업로드하여 공격에 활용합니다.
    • 사례 : 공격자는 GitHub 저장소나 Platform-as-a-Service(PaaS) 환경에 도구를 업로드하여 피해자 시스템에서 다운로드하도록 유도합니다.
  • T1608.003: Install Digital Certificate
    공격자는 악성 도메인이나 C2 인프라에 디지털 인증서를 설치하여 트래픽을 암호화하고 탐지를 회피합니다.
    • 사례 : 공격자는 Let's Encrypt와 같은 무료 인증서를 사용하여 악성 도메인에 HTTPS를 적용합니다.
  • T1608.004: Drive-by Target
    공격자는 악성 콘텐츠를 포함한 웹사이트를 설정하여 피해자가 해당 사이트를 방문하는 것만으로도 악성 코드가 실행되도록 합니다.
    • 사례 : 공격자는 JS 기반의 악성 광고를 삽입하거나, 클라우드 스토리지 버킷의 스크립트 파일을 수정하여 악성 콘텐츠를 제공합니다.
  • T1608.005: Link Target
    공격자는 피싱 이메일이나 메시지에 포함된 링크가 연결되는 악성 웹페이지를 설정하여 피해자를 유도합니다.
    • 사례 : 공격자는 합법적인 로그인 페이지를 clone하여 자격 증명을 수집하거나, 악성 파일을 다운로드하도록 유도합니다.
  • T1608.006: SEO Poisoning
    공격자는 검색 엔진 최적화(SEO) 기법을 악용하여 악성 웹사이트가 검색 결과 상위에 노출되도록 합니다.
    • 사례 : 공격자는 인기 있는 키워드를 포함한 콘텐츠를 생성하거나, GitHub와 같은 플랫폼에서 검색 결과를 조작하여 피해자를 유도합니다.

요약: 기술 간 상호 관계 및 전술적 결합

기술 주요 목적 활용 전술
Acquire Infrastructure 인프라 은닉 C2, 초기 접근
Establish Accounts 신뢰 확보 피싱, 도구 배포
Develop Capabilities 맞춤형 공격 탐지 회피, 권한 획득
Stage Capabilities 사전 배치 Execution, Lateral Movement
 

→ 위 기술들은 선형적으로 연결되기보다, 공격 목적에 따라 조합적으로 사용되며, 이에 따라 보안 탐지도 복합 기술의 결합에 주목해야 한다.

3. 실제 사례 분석

3.1 APT29 (Cozy Bear)의 SolarWinds 공급망 공격

개요

APT29는 러시아 외무정보국(SVR)과 연계된 위협 행위자로, 2020년 SolarWinds Orion 소프트웨어에 악성 코드를 삽입하여 글로벌 기업 및 정부 기관 수천 곳에 침입하였다.

Resource Development 기술 매핑

기술 하위 기술 설명
T1583.001 Domains avsvmcloud[.]com 등 정상 도메인과 유사한 도메인을 등록하여 악성 업데이트를 배포
T1583.004 Server C2 인프라로 활용할 서버를 직접 구축
T1587.003 Digital Certificates SolarWinds의 정식 코드 서명 인증서를 확보하여 악성 DLL에 서명
T1588.003 Digital Certificates 도난 혹은 무단 사용된 인증서를 통해 악성 업데이트 파일에 신뢰 부여
T1583.006 Web Services Atlassian Trello, Dropbox 등 정상 웹 서비스를 명령 채널로 악용 (서버리스 환경의 일환)
 

분석

이 공격은 Resource Development 단계에서 고도화된 위장 전략과 신뢰도 확보 수단이 활용된 사례로, 공급망 침해에 앞서 방대한 사전 준비가 이루어졌음을 보여준다. 특히 디지털 인증서를 통한 서명은 탐지를 상당히 어렵게 만들었다.

3.2 APT41의 SideWalk 백도어 캠페인

개요

APT41은 중국 정부와 연계된 위협 그룹으로, 정찰과 범죄 행위를 병행하는 이중 목적 활동을 전개하며 다양한 백도어를 개발 및 배포하였다.

Resource Development 기술 매핑

기술 하위 기술 설명
T1587.001 Malware SideWalk 백도어를 독자적으로 개발해 맞춤형 기능 탑재
T1588.002 Tool 추가적인 권한 상승 도구 및 자격 증명 탈취 툴을 커뮤니티에서 확보
T1583.004 Server 백도어 다운로드 및 C2 통신을 위한 서버를 다수 운영
T1585.003 Cloud Accounts 클라우드 환경 기반의 인프라 운용 흔적 (Azure 사용 정황 확인됨)
 

분석

APT41은 자체 악성코드 개발 역량이 높으며, 인프라를 외부에서 구매하기보다는 직접 개발하고 구성하는 방식을 선호하였다. 도구 확보 또한 정식 보안 도구를 위장하거나 GitHub 등에서 확보하는 방식을 병행하였다.

3.3 FIN7의 BadUSB 캠페인

개요

FIN7은 금전적 이익을 목표로 하는 범죄 조직으로, 2020년부터 다양한 기업에 물리적 USB 장치를 우편으로 배송하여 내부망 침입을 시도하였다.

Resource Development 기술 매핑

 

기술 하위 기술 설명
T1587.001 Malware USB 장치 실행 시 자동으로 다운로드되는 백도어 악성코드를 개발
T1588.002 Tool 키로거, 정보 탈취 툴 등을 확보해 공격 흐름 내 삽입
T1583.003 VPS 트래픽 중계 및 명령 실행을 위한 VPS 인프라 확보
T1585.002 Email Accounts 피싱 이메일을 위한 위장 계정 사용 정황 존재
 

분석

FIN7의 접근은 비기술적인 전술(사회공학 + 물리적 접근)과 기술적 준비(악성코드 및 명령 인프라)를 결합한 형태로, Resource Development의 다양한 기술이 동시 다발적으로 활용된 사례이다.

3.4 Lazarus Group의 라우터 인프라 재사용

개요

북한과 연계된 것으로 알려진 Lazarus 그룹은, 공격을 위한 인프라로 타국의 중고 라우터, NAS, 웹서버 등을 침해하여 공격 경유지로 활용해 왔다.

Resource Development 기술 매핑

 

기술 하위 기술 설명
T1584.008 Network Devices 보안이 취약한 인터넷 공유기 및 라우터를 탈취하여 명령 전달에 활용
T1584.004 Server 일반 웹서버를 침해하여 악성코드 호스팅에 사용
T1588.001 Malware 내부 MBR 파괴형 또는 Wiper 악성코드를 다크웹에서 확보하여 사용
T1588.005 Exploits 보안 취약한 펌웨어에 대한 익스플로잇 코드 확보하여 침해에 활용
 

분석

Lazarus는 자산을 직접 구축하기보다는 기존 자산을 탈취 또는 변조하여 사용함으로써 자산 조달 비용을 줄이고 익명성을 확보하였다. 또한 다양한 악성코드를 재사용 및 변형함으로써 탐지 회피력을 높였다.

3.5 UNC2452 – 클라우드 계정과 인증서 활용

개요

UNC2452는 SolarWinds 사건과 관련된 위협 그룹 중 하나로, Microsoft Azure 및 O365 환경에 대한 침투와 관련된 활동을 수행하였다.

Resource Development 기술 매핑

 

기술 하위 기술 설명
T1585.003 Cloud Accounts Azure 계정을 생성하여 백업 명령 및 자산 운용을 수행
T1588.003 Digital Certificates 클라우드 계정에 저장된 인증서를 이용해 토큰 서명 또는 인증 우회
T1650 Acquire Access 침투된 클라우드 계정 접근 권한을 IAB로부터 확보했을 가능성 제기됨
 

분석

클라우드 환경을 중심으로 공격을 전개한 UNC2452는 전통적 인프라보다 클라우드 인프라 및 계정 자산 확보에 Resource Development 기술을 집중시켰다. 특히 디지털 인증서를 이용한 권한 상승 및 우회는 탐지 난이도를 높였다.

3.6 사례별 기술 사용 현황 요약표

그룹명사용 기술 (TTP)
APT29 T1583.001, T1587.003, T1588.003, T1583.006
APT41 T1587.001, T1588.002, T1583.004, T1585.003
FIN7 T1587.001, T1588.002, T1583.003, T1585.002
Lazarus T1584.008, T1584.004, T1588.001, T1588.005
UNC2452 T1585.003, T1588.003, T1650

4. 방어 전략 및 탐지 방법

4.1 서론

MITRE ATT&CK의 Resource Development 전술은 공격자의 초기 준비단계에서 이루어지는 자산 확보 및 배치 전략을 포괄하며, 전통적인 보안 시스템의 감시 범위를 벗어난 외부 인프라, 계정, 인증서, 플랫폼 상의 활동을 포함한다는 점에서 탐지가 특히 어렵다. 따라서 본 장에서는 TA0042에 속하는 각 기술에 대해 탐지 우선 방어 전략(Detect-first), 선제 차단 전략(Proactive prevention), 위협 인텔리전스 기반 대응 전략(Intelligence-driven) 세 가지 관점에서 구분하여 방어 프레임워크를 설계한다.

4.2 전술별 위협 탐지 및 방어 전략

4.2.1 T1583 – Acquire Infrastructure

하위 기술 탐지 전략 방어 전략
Domains 신규 등록 도메인 WHOIS 모니터링, 유사 도메인 문자열 유사도 분석 조직 브랜드 보호 프로그램 운영, 사전 등록 방어 도메인 확보
VPS, Server VPS IP 블록 기반 통신 탐지, 비정상적인 클라우드 트래픽 추적 클라우드 기반 통신 제한, TOR/익명화 서비스 차단
Web Services 외부 API 호출 패턴 분석, Pastebin 등 공개 리포지토리 호출 탐지 외부 웹 서비스 접근 차단 또는 DLP 정책 연동
Serverless AWS Lambda, Google Cloud Functions API 패턴 탐지 정책 기반 서비스 사용 제한 (e.g., Google Drive 접근 제어)
 

4.2.2 T1584 – Compromise Infrastructure

하위 기술 탐지 전략 방어 전략
Network Devices 라우터/방화벽의 비인가 구성 변경 탐지, SNMP 비정상 트래픽 확인 펌웨어 무결성 검사, 장비 접근통제(MAC/IP 제한), 세분화된 ACL 적용
Server DNS 리졸빙 결과와 CDN 캐시 비교를 통한 IP 변조 탐지 웹서버 보안 강화, 서드파티 CMS 취약점 점검
 

4.2.3 T1585/T1586 – Establish or Compromise Accounts

계정 범주 탐지 전략 방어 전략
Email/Social Media 새로운 도메인의 SPF/DKIM/DMARC 인증 실패 감지, 대량 이메일 발송 추적 위장 계정 신고 체계, 피싱 시뮬레이션 교육 강화
Cloud 비정상 지역에서 생성된 계정 탐지, 다중 로그인 이벤트 탐색 MFA 의무화, IAM 정책 기반의 최소 권한 설정
 

4.2.4 T1587/T1588 – Capability Development or Acquisition

 

자산 유형 탐지 전략 방어 전략
Malware/Tool 해시값 기반 위협 인텔리전스 연계 탐지, 시그니처 없는 이상 실행 탐색 애플리케이션 화이트리스트, 스크립트 실행 제한(GPO)
Certificate 자가서명 인증서 탐지, 유효기간 <30일의 인증서 우선 모니터링 TLS 검사 강화(SSL Break & Inspect), CT 로그 통합
Exploits N-day 취약점 다운로드 시도 탐지, 커뮤니티 공유 도구 접속 모니터링 취약점 가시화 도구(VulnWhisperer 등) 운영, 자동 패치 시스템 강화
 

4.2.5 T1650 – Acquire Access (IAB)

 

탐지 전략 방어 전략
다크웹 모니터링을 통한 계정 유출 식별 VPN 접속 위치 기반 정책 설정, 로그온 시도 실시간 알림
내부 계정의 접근 이상 행위 탐지 사용자 행동 기반 분석(UBA), 권한 분리 강화
 

4.2.6 T1608 – Stage Capabilities

하위 기술 탐지 전략 방어 전략
Upload Malware 외부 저장소로부터의 파일 다운로드 URL 분석, 퍼징 기반 악성파일 확인 URL Sandbox, 외부 파일 전송 차단 정책(DLP/Proxy 통합)
Upload Tool GitHub/GitLab 등의 외부 리포지토리 접근 탐지 개발자용 저장소와 일반 사용자의 접근 권한 분리
Install Certificate SSL/TLS 인증서 변경 감지, HTTPS 트래픽 Deep Inspection 무료 인증서 사용 제한, 인증서 투명성 로그 분석
Drive-by Target 사용자 접속 웹사이트의 JS 동작 이상 여부 분석 브라우저 보호 솔루션(Browser Isolation), Web AV 연동
Link Target 이메일 URL 리디렉션 추적, SafeLink 분석 URL Rewrite 솔루션 도입, 클릭 전 미리보기 제공
SEO Poisoning 검색 트렌드 기반 악성 페이지 유입 분석 자사 브랜드 키워드 모니터링, 악성 SEO 콘텐츠 제보 시스템 운영
 

4.3 위협 인텔리전스 기반 통합 대응 전략

4.3.1 TTP 중심의 탐지 룰 구성

  • 기존 IOC 기반 탐지의 한계를 극복하고, TTP (전술-기술-절차) 기반 탐지 룰을 적용.
  • 예시: 새로 등록된 도메인 + 첫 피싱 시도 + 무료 인증서 적용 → T1583 + T1608.003 연계 탐지

4.3.2 MITRE ATT&CK 기반 SIEM/EDR 탐지 정책 구성

  • MITRE 기반 탐지 시나리오 설계: 각 기술에 대해 탐지 조건 → 대응 정책 → 로그 수집 대상 지정
  • 예시: GitHub 접속 로그 + CMD 또는 PowerShell 통한 파일 실행 → T1608.002 탐지

4.3.3 Threat Intelligence Platform(TIP) 연동

  • CTI와 연계한 자동 IOC 피드 → SIEM에 동적 반영
  • OSINT 수집: 새로 생성된 도메인, 인증서, 도구 등과 연계된 공격자 행동 로그 통합 분석

4.4 대응 체계 구축 권고 모델

대응 단계 권고 구성 요소
예방 (Prevent) 계정 생성 정책, 인증서 정책, 도메인 등록 탐지 시스템
탐지 (Detect) MITRE ATT&CK 기반 탐지 룰 적용, SIEM 연계 룰 시나리오
대응 (Respond) 자동 격리 정책, 이메일/도메인 블랙리스트 자동화
복구 (Recover) 악성 인프라 신고 시스템, 인증서 철회 요청 체계 구축

 

5. 요약

본 글에서는 MITRE ATT&CK 프레임워크의 초기 전술 중 하나인 Resource Development (TA0042) 전술에 대한 심층 분석을 수행하였다. 공격자는 TA0042 전술을 통해 악성 인프라, 계정, 도구, 인증서, 악성 콘텐츠 등을 사전에 확보·개발함으로써 이후 공격 단계에서 탐지를 회피하고 성공 확률을 극대화할 수 있다.

이를 위해 본 논문은 다음과 같은 구조로 TA0042 전술을 정리하였다:

  • 제1장에서는 Resource Development 전술의 개념, 공격 수명주기 내 위치, 전략적 중요성에 대해 분석하였다.
  • 제2장에서는 해당 전술을 구성하는 세부 기술(T1583~T1608)을 각각 정의하고, 기능·사례·목적·공격자 관점을 포함하여 구조화하였다.
  • 제3장에서는 APT29, APT41, FIN7, Lazarus 등 대표적인 APT 그룹의 실제 공격 사례를 기반으로 각 기술의 실제 사용 양상을 매핑하였다.
  • 제4장에서는 각 기술에 대한 탐지 전략, 방어 기법, 위협 인텔리전스 연계 방안, 그리고 MITRE 기반 보안 정책 구성 방식 등을 다층적으로 제시하였다.

 

Consolidated Reference List 

    1. MITRE. (n.d.). TA0042: Resource Development. Retrieved from https://attack.mitre.org/tactics/TA0042/
    2. MITRE. (n.d.). T1583: Acquire Infrastructure. Retrieved from https://attack.mitre.org/techniques/T1583/
    3. MITRE. (n.d.). T1583.001: Acquire Infrastructure – Domains. Retrieved from https://attack.mitre.org/techniques/T1583/001/
    4. MITRE. (n.d.). T1583.002: Acquire Infrastructure – DNS Server. Retrieved from https://attack.mitre.org/techniques/T1583/002/
    5. MITRE. (n.d.). T1583.003: Acquire Infrastructure – Virtual Private Server. Retrieved from https://attack.mitre.org/techniques/T1583/003/
    6. MITRE. (n.d.). T1583.004: Acquire Infrastructure – Server. Retrieved from https://attack.mitre.org/techniques/T1583/004/
    7. MITRE. (n.d.). T1583.005: Acquire Infrastructure – Botnet. Retrieved from https://attack.mitre.org/techniques/T1583/005/
    8. MITRE. (n.d.). T1583.006: Acquire Infrastructure – Web Services. Retrieved from https://attack.mitre.org/techniques/T1583/006/
    9. MITRE. (n.d.). T1583.007: Acquire Infrastructure – Serverless. Retrieved from https://attack.mitre.org/techniques/T1583/007/
    10. MITRE. (n.d.). T1583.008: Acquire Infrastructure – Malvertising. Retrieved from https://attack.mitre.org/techniques/T1583/008/
    11. MITRE. (n.d.). T1584: Compromise Infrastructure. Retrieved from https://attack.mitre.org/techniques/T1584/
    12. MITRE. (n.d.). T1585: Establish Accounts. Retrieved from https://attack.mitre.org/techniques/T1585/
    13. MITRE. (n.d.). T1586: Compromise Accounts. Retrieved from https://attack.mitre.org/techniques/T1586/
    14. MITRE. (n.d.). T1587: Develop Capabilities. Retrieved from https://attack.mitre.org/techniques/T1587/
    15. MITRE. (n.d.). T1588: Obtain Capabilities. Retrieved from https://attack.mitre.org/techniques/T1588/
    16. MITRE. (n.d.). T1608: Stage Capabilities. Retrieved from https://attack.mitre.org/techniques/T1608/
    17. MITRE. (n.d.). APT28 (Group G0007). Retrieved from https://attack.mitre.org/groups/G0007/
    18. MITRE. (n.d.). APT29 (Group G0016). Retrieved from https://attack.mitre.org/groups/G0016/
    19. MITRE. (n.d.). FIN7 (Group G0046). Retrieved from https://attack.mitre.org/groups/G0046/
    20. MITRE. (n.d.). APT41 (Group G0096). Retrieved from https://attack.mitre.org/groups/G0096/
    21. NetScout Systems. (n.d.). What is MITRE ATT&CK Resource Development?. Retrieved from https://www.netscout.com/what-is-mitre-attack/resource-development
    22. Infosec Institute. (2022). Recon and resource development with MITRE ATT&CK. Retrieved from https://www.infosecinstitute.com/resources/mitre-attck/recon-resource-development-mitre-attck/
    23. Palo Alto Networks. (n.d.). What Is MITRE ATT&CK Framework?. Retrieved from https://www.paloaltonetworks.com/cyberpedia/what-is-mitre-attack

 

  1. CrowdStrike. (2021). HAFNIUM Infrastructure Overview. Retrieved from https://www.crowdstrike.com
  2. Picus Security. (n.d.). The Top Ten MITRE ATT&CK Techniques. Retrieved from https://www.picussecurity.com/resource/the-top-ten-mitre-attck-techniques

 

 

 

'Incident Response > MITRE ATT&CK' 카테고리의 다른 글

MITRE ATT&CK - Reconnaissance  (2) 2025.05.11
MITRE ATT&CK란?  (1) 2025.05.09