Incident Response/MITRE ATT&CK

MITRE ATT&CK - Reconnaissance

Noctis41 2025. 5. 11. 06:28

2025.05.09 - [Incident Response/MITRE ATT&CK] - MITRE ATT&CK란?

 

MITRE ATT&CK란?

서론: 왜 MITRE ATT&CK가 필요한가?사이버 공격은 더 이상 단일 벡터나 단순한 악성코드로 설명되지 않는다. 오늘날 공격자들은 정찰에서 침투, 권한 상승, lateral movement, 데이터 유출, 시스템 파괴까

infosec-noh.tistory.com

 

1. 서론

현대 사이버 공격의 정교함은 악성코드의 복잡성이나 네트워크 침투 기술의 고도화에만 기인하지 않는다. 실제 침해사고 분석 결과를 종합해보면, 고도화된 위협 행위자는 기술적 실행 단계 이전에  정찰(Reconnaissance) 작업을 장기간 수행하며 전략적 기반을 구축하는 경향을 보인다. 이 정찰 단계는 공격의 성공률과 은닉성과 정밀도에 직결된다. 사이버 작전의 초기 단계에서 전체 작전 효율성을 결정짓는 핵심 행위로 간주된다.

MITRE ATT&CK 프레임워크는 이러한 정찰 활동을 전술(Tactic)로 분류하며, TA0043 – Reconnaissance라는 명칭 하에 체계화하였다. Reconnaissance는 공격자가 목표 시스템에 대한 물리적 접근이나 자격증명 확보 이전에 수행하는 정보 기반의 사전 설계 활동으로, OSINT(Open Source Intelligence), Passive DNS, Certificate Transparency Logs, GitHub 저장소 등 다양한 공개 자산을 활용한다. 이러한 정보는  후속 공격 전술( Targeted Phishing 설계, Credential Stuffing, Zero-Day Exploitation 등)에 직접 연결되다. Reconnaissance는 단순 정보 수집을 넘어 작전 전략 수립, 공격 범위 설정, 목표 선별, 전술 조합의 근거를 제공한다.

특히 국가 기반 위협 APT 그룹(  APT29(Cozy Bear), APT10, Lazarus 등 )들은 Reconnaissance 단계에 수 주에서 수 개월의 시간에서 수년을 할애한다. 정교한 자동화 파이프라인을 통해 수집된 데이터를 후속 공격에 연계한다는 점에서 Reconnaissance는 단발성 탐색이 아닌 공격 설계 전 과정의 기반 단계로 기능한다.

2. Reconnaissance의 정의

2.1 기능적 정의

Reconnaissance는 공격자가 목표 시스템에 대한 사전 정보를 수집하여 공격 경로, 취약점, 인적 자원, 도메인 구조, 서비스 구성, 운영 시간 등을 파악하는 행위로 정의된다. 이 과정은 물리적/논리적 접촉 없이 이루어지며, 대체로 OSINT (Open-source intelligence)에 기반한다. Reconnaissance는 피해 시스템과의 상호작용 여부에 따라 Passive 및 Active Recon으로 구분된다.

2.2 Reconnaissance의 전술적 위치

Reconnaissance는 사이버 공격의 전체 전술 구조 내에서 근본적인 전략 수립의 Tactical Root로 위치한다. MITRE ATT&CK 매트릭스에서 TA0043으로 정의된다. 이는 대부분의 후속 전술의 기반 데이터 수집을 목적으로 하는 선행 단계이다. Cyber Kill Chain 모델에서는 가장 앞선 단계로 정의되며, 이 단계에서 실패하거나 부정확한 정보가 수집될 경우, 전체 공격의 효과성은 급격히 저하된다.

2.2.1 ATT&CK 매트릭스 상의 연결 구조

Reconnaissance는 단일 전술임에도 불구하고 다음과 같이 다수의 전술과 연결된다:

  • Initial Access (TA0001): 도메인 정보 및 조직 인프라를 기반으로 피싱 캠페인이나 Exploit 전략 수립
  • Credential Access (TA0006): GitHub, Pastebin 등에서 수집한 노출 자격 증명을 이용한 계정 탈취 시도
  • Discovery (TA0007): 호스트 및 네트워크 환경 식별 전, 시스템 구조를 추론할 기반 정보 수집
  • Resource Development (TA0042): 인프라 구성에 필요한 공격용 도메인 및 계정 구매 전략 도출

이처럼 Reconnaissance는 타 전술들의 실행을 조건부로 제어하는 Triggering Tactic으로 기능한다.

2.2.2 APT 공격 사례에서의 위치

실제 사례로 APT29(Cozy Bear)는 미국 연방기관을 공격하기 전 약 3개월간 Reconnaissance 전술만을 수행하였다. 이 기간 동안 수집된 DNS 레코드, LinkedIn 직원 정보, 정책 문서들은 이후 Initial Access 수단으로 사용된 내부망 스피어피싱 캠페인의 정확도 향상에 결정적 역할을 하였다. 또한 Lazarus 그룹은 암호화폐 거래소를 대상으로 Reconnaissance를 수행할 때 GitHub에 등록된 트레이딩 봇의 소스코드 및 설정 파일을 크롤링하여 취약점 벡터를 파악하고, 이를 통해 업데이트 서버 위조 및 악성 페이로드 배포를 성공시켰다.

2.2.3 전략적 의사결정 계층으로서의 의미

Reconnaissance는 공격자의 입장에서 다음과 같은 의사결정을 뒷받침한다:

  • At what stage of the operation should each tactic be deployed to maximize effectiveness?
  • Which systems should be designated as priority targets based on strategic value?
  • How should adversarial domains, accounts, and infrastructure be architected to optimize operational impact?
  • What methods can be employed to enhance the plausibility and success rate of phishing and social engineering scenarios?

이러한 의사결정은 대부분 수집된 Reconnaissance 데이터에 기반하므로, 해당 전술은 전체 공격 플로우의 상위 제어 계층 역할을 수행한다고 평가할 수 있다.

2.3 Reconnaissance의 전개 방식

Reconnaissance 전술은 표적화된 공격을 설계하기 위해 체계적이고 반복적인 절차를 거친다. 이 전개 방식은 단순한 데이터 수집이 아니라, 목적 지향적 전술 설계의 전주(前奏)로 기능하며 다음과 같은 단계로 구조화된다:

2.3.1 단계 기반 Reconnaissance 흐름

  1. Recon Planning
    • 목표 선정: 공격자 관점에서 수익/영향이 큰 조직 또는 산업군 식별
    • 정보 요구사항 정의(IRR): 기술적 정보(포트, OS), 인적 정보(직책, 이메일), 인프라 정보(DNS, 인증서)로 구성
    • 도구 및 접근 경로 결정: OSINT 기반 Passive 방식 또는 스캔 기반 Active 방식으로 구분하여 초기 전술 조정
  2. Data Collection
    • 다양한 출처(공식 웹사이트, GitHub, LinkedIn, DNS, WHOIS 등)로부터 수동 또는 자동화된 방식으로 데이터 수집
    • Passive: 크롤링, 서치엔진 Dorking, CT 로그 API
    • Active: 포트 스캐닝, OS 식별, 서비스 banner 수집 등
  3. Data Processing & Fusion
    • 중복 제거, 구조화 및 정규화
    • 엔터프라이즈 환경 기준으로 정렬 (ex. domain.com 기준으로 IP, 서버 정보, 사용자 식별자 통합)
  4. TTP Mapping
    • 수집된 데이터를 기반으로 가능한 후속 전술 시퀀스를 매핑
    • 예: 내부 메일 계정 → Spearphishing → Credential Dump → Lateral Movement

2.3.2 기술 기반 Reconnaissance 유형

수집 방식 설명
검색 기반 Google, Bing, GitHub 등에서 키워드 및 도메인 기반 정보 검색
크롤링 기반 웹사이트 및 문서 구조 탐색, 링크 추적
API 기반 CT 로그, DNS 기록, GitHub REST API 등을 통한 구조화된 정보 요청
패킷 기반 (Active) 대상 시스템에 직접 트래픽을 유발하여 서비스 구조 탐지
 

2.3.3 Reconnaissance 자동화 파이프라인 예시

APT 공격자는 다음과 같은 자동화된 Reconnaissance 흐름을 활용하는 것으로 분석된다:

  1. 대상 도메인 입력 → Amass/subfinder를 통한 서브도메인 수집
  2. crt.sh API → Certificate Transparency Log 기반 추가 도메인 추출
  3. GitHub Dorking → 조직 내부 코드/문서/환경설정 검색
  4. LinkedIn Graph API → 직원 정보 수집 및 이메일 패턴 생성
  5. 결과 데이터를 Neo4j 또는 JSON으로 구조화 → 후속 공격 설계 자동화 입력으로 활용

이러한 파이프라인은 Reconnaissance를 단순한 Pre-attack phase가 아닌 전체 attack routine의 정보 흐름을 지배하는 전술로 전환시킨다. 특히 조직별 공격 맞춤화(Personalized Targeting)를 가능케 한다.

 

3. Reconnaissance 하위 기술: 기술 체계와 기능적 분류

본 절에서는 이러한 하위 기술들을 구조적으로 재정의하기 위해 다음 세 가지 축을 기준으로 분류하였다:

  1. 수집 대상에 따른 분류
    • Infrastructure-Oriented Techniques : 네트워크 주소 공간, 도메인 구조, 서비스 배포 상황을 식별 (T1595, T1596, T1597)
    • Personnel-Oriented Techniques : 직원 정보, 계정명, 메일 주소, 조직 구조 등 사람 중심의 정보 수집 (T1589, T1591, T1592)
    • Document- and Technology-Oriented Techniques : 공개 저장소, 문서, 소셜미디어, 인증서 로그 등에서 기술 자료를 수집 (T1598, T1593, T1594)
  2. 정보 수집 방식에 따른 분류
    • Passive Recon Techniques: 검색엔진, 공개 저장소, 문서, SNS, DNS 로그 등에서 직접적인 대상과의 접촉 없이 수집
    • Active Recon Techniques: 대상 IP에 직접 트래픽을 발생시켜 응답을 분석하는 능동적 수단 활용 (e.g., 포트 스캔, 응답 배너 분석)
  3. 공격 연계 경로에 따른 분류
    • Initial Access Precursor: 공격 진입점을 식별하기 위한 기법 (예: 서브도메인 수집 → 피싱 페이지 등록)
    • Credential Harvesting 기반 설계: 계정 기반 공격(T1078, T1110 등)에 활용할 정보를 식별 (예: 이메일 주소, 계정명, 유출된 인증정보)
    • 사회공학 기반 자료 확보: 피싱 시나리오, 내부자 사칭, 문서 위조 등에 필요한 맥락 정보 수집

각 하위 기술은 이러한 분류 체계를 기준으로 재조명할 수 있으며, 다음 절에서는 각 기술의 기능 정의, 실행 구조, 공격 루틴에서의 전략적 역할, 연계 가능한 후속 기술을 포함하여 정밀하게 분석한다.

이후 각 기술별 분석은 이전보다 더 깊이 있게 단계적으로 확장하여 구성됩니다.

예를 들어:

T1595의 경우 포트 기반 스캔이 TCP 3-way handshake의 특성과 어떤 식으로 evasion techniques로 전환되는지, 패킷 구조 기반 우회 전략까지 다루고, T1596은 DNS zone transfer, 인증서 투명성 로그 기반의 서브도메인 enumeration 과정의 알고리즘적 측면을 설명하며, T1598은 GitHub API Rate Limit 회피 기법, entropy 기반 credential leakage 식별 로직 등까지 포함하게 됩니다. 이하에서는 각 기술의 기능 정의, 세부 실행 구조, 공격 루틴에서의 역할, 연계 가능한 후속 기술을 포함하여 정밀 분석한다.

 

Reconnaissance 전술(TA0043)은 MITRE ATT&CK 매트릭스 상의 다른 전술들과 달리, 실제 시스템 침투 이전에 이뤄지는 'intelligence-driven design tactic'이라는 고유한 위치를 점하고 있다. MITRE는 이를 보다 세분화하여 13개의 하위 기술(TTP: Tactics, Techniques, and Procedures)로 구성하고 있으며, 각각은 정보 수집의 목적과 출처, 수단, 적용 시나리오에 따라 구체화되어 있다.

 

4. T1595 – Active Scanning의 기술적 구조

4.1 기술 정의

T1595 (Active Scanning)은 MITRE ATT&CK의 TA0043 Reconnaissance 전술군에 속하는 기술로, 공격자가 대상 시스템 또는 네트워크에 직접 트래픽을 생성하여 시스템의 존재 여부, 열려 있는 포트, 서비스 식별자, 운영 체제 특성 등을 식별하는 활동을 의미한다. Passive 방식과 달리 명시적인 상호작용(interaction)이 전제되므로, 네트워크 IDS/IPS에 의해 탐지될 수 있다. 그러나 이러한 리스크에도 불구하고, Active Scanning은 침투 가능성 있는 자산을 정확하게 식별할 수 있다는 점에서 정보 수집의 정밀도를 크게 향상시킨다.

4.2 하위 기술 구조 

  • T1595.001 – Scanning IP Blocks
    공격자는 CIDR 범위 또는 전체 서브넷(예: /24, /16)을 지정하여 대량의 호스트에 대해 ICMP Echo Request, TCP SYN 패킷, 또는 UDP 패킷을 송신한다. 이를 통해 응답 여부 및 기본 방화벽 정책을 확인하고, 활성화된 IP 자산의 존재를 탐지한다.
    기술 요소:
    • ICMP Echo Scan: ping sweep (fping, nmap -sn)
    • TCP SYN Scan: Half-open scan (3-way handshake 미완성)
    • UDP Scan: 비연결성 기반 서비스 식별 (DNS, SNMP 등)
  • T1595.002 – Vulnerability Scanning
    수집된 호스트 및 포트 정보를 기반으로 서비스 식별(banner grabbing)운영 체제 판별(OS fingerprinting)을 수행하며, 취약한 서비스 또는 소프트웨어 버전에 대해 CVE 기반 취약점 매핑을 시도한다.
    대표 도구: Nessus, OpenVAS, Nuclei, Nmap NSE, Qualys.

4.3 네트워크 계층 기반 분석

  • Layer 3 (IP):
    • TTL(Time-To-Live) 값의 초기 설정 차이와 IP ID 시퀀싱 분석을 통해 운영 체제 유형 추정
    • 예: Windows는 TTL 128, Linux는 TTL 64
  • Layer 4 (TCP/UDP):
    • TCP SYN-ACK 응답 속성 (Window size, flags 등)을 기반으로 OS fingerprint 생성
    • UDP 응답 없음도 유효 정보 (ICMP Port Unreachable 등)
  • Layer 7 (Application):
    • Banner Grabbing: HTTP, SSH, FTP, SMTP 등에서 초기 응답 메시지 수집
    • Protocol fuzzing을 통해 구체적인 버전/취약점 확인 (ex: Apache/2.4.49 → CVE-2021-41773 취약)

4.4 도구 및 명령어 예시

도구 명령 예시 설명
nmap nmap -sS -sV -O -T4 -p- 192.168.1.0/24 TCP SYN scan, 서비스 및 OS 감지
masscan masscan 192.168.0.0/16 -p80,443 --rate=10000 초고속 포트 스캔
zmap zmap -p 22 -B 10M -o scan.csv 0.0.0.0/0 전 인터넷 대상 포트 스캔 (22번)
nuclei nuclei -t cves/ -target https://target.com 취약점 템플릿 기반 탐지
 

비교:

  • nmap: 정확성↑, 속도↓, 스크립트 가능

  • masscan: 속도↑, 결과 해석 필요 (서비스 식별 불가)
  • zmap: 네트워크 리서치에 특화, 구조적 리스크 있음

4.5 탐지 회피 기법

  1. 패킷 분산(fragmentation):
    nmap -f 옵션으로 IP 레벨에서 패킷을 분할하여 네트워크 IDS가 정상적으로 조립하지 못하게 유도
  2. Scan Timing 조절:
    --scan-delay, -T0~T1 등 옵션을 이용해 Low-and-slow 방식 적용.
    → 하루에 수천 IP를 매우 천천히 스캔하여 탐지 회피
  3. 랜덤화(Randomization):
    • --randomize-hosts, --data-length, --spoof-mac 등 사용
    • 포트 순서 무작위화, 스푸핑된 MAC 주소, payload noise 추가
  4. 패킷 특성 조작:
    • TCP Flag 필드를 변형하여 비정상 패킷 시그니처로 회피
    • 예: FIN-Only scan, XMAS scan, NULL scan (방화벽 우회 시도)
  5. 출발지 IP 분산:
    • IP Spoofing 또는 프록시/VPN 노드를 활용해 탐지 시 소스 주소 추적을 어렵게 함

4.6 후속 전술 연계

  • T1595 → T1133: External Remote Services
    개방된 RDP/SSH/FTP 등 원격 접속 포트 발견 시 직접 인증 시도 가능
  • T1595 → T1190: Exploit Public-Facing Application
    서비스 버전 매핑 결과 특정 취약점(CVE)에 해당할 경우 자동화된 공격 루틴 전환
  • T1595 + T1589 → Credential Stuffing(T1110)
    로그인 서비스 식별 후 계정 유출 정보 연계 공격 가능

5. T1596 – Search Open Technical Databases의 기술적 구조

5.1 기술 정의

T1596은 공격자가 공개된 기술 데이터베이스를 검색하여 대상에 대한 정보를 수집하는 수동적 정보 수집 기법입니다. 이러한 데이터베이스에는 도메인 등록 정보, 디지털 인증서, DNS 레코드, CDN 정보, 공개 스캔 데이터 등이 포함됩니다. 이 정보를 통해 공격자는 조직의 네트워크 구조, 서비스 노출 상태, 보안 설정 등을 분석할 수 있습니다.

5.2 하위 기술 구조

T1596.001 – DNS/Passive DNS

공격자는 DNS 레코드를 조회하거나 패시브 DNS 데이터베이스를 검색하여 대상 조직의 서브도메인, 메일 서버(MX 레코드), 네임서버(NS 레코드) 등의 정보를 수집합니다. 이를 통해 조직의 네트워크 구조와 외부에 노출된 서비스를 파악할 수 있습니다. 

T1596.002 – WHOIS

WHOIS 데이터는 도메인 등록자, 등록일, 만료일, 연락처 정보 등을 포함합니다. 공격자는 이를 통해 조직의 담당자 정보를 파악하거나, 도메인과 관련된 추가 정보를 수집할 수 있습니다.

T1596.003 – Digital Certificates

디지털 인증서는 조직의 도메인 이름, 조직명, 위치 등의 정보를 포함합니다. 공격자는 공개된 인증서 데이터를 분석하여 조직의 서브도메인, 사용 중인 서비스 등을 파악할 수 있습니다.

T1596.004 – CDNs

콘텐츠 전송 네트워크(CDN)는 조직의 웹 콘텐츠를 전 세계에 분산하여 제공합니다. 공격자는 CDN 정보를 분석하여 조직의 웹 자산, 지리적 배포 상태, 보안 설정 등을 파악할 수 있습니다. 

T1596.005 – Scan Databases

공개 스캔 데이터베이스(예: Shodan, Censys)는 인터넷에 노출된 장비의 IP 주소, 포트, 서비스 배너 등의 정보를 제공합니다. 공격자는 이러한 데이터를 활용하여 조직의 노출된 자산을 식별하고, 취약점을 탐색할 수 있습니다.

5.3 기술적 수행 절차

  1. 도메인 및 서브도메인 식별:
    • 도구: Amass, Subfinder, assetfinder, dnsx
    • Certificate Transparency 로그 분석: crt.sh, Censys, VirusTotal
  2. DNS 레코드 조회:
    • 명령어:
      • dig example.com ANY
      • nslookup -type=mx example.com
      • host -t txt example.com
    • SPF, DKIM, DMARC 설정 확인
  3. WHOIS 정보 분석:
    • 명령어: whois example.com
    • 등록자 이메일, 등록기관, 등록일 등 확인
  4. 디지털 인증서 정보 분석:
    • 명령어: openssl s_client -connect example.com:443
    • Certificate Transparency 로그 분석: crt.sh, Censys
  5. CDN 정보 분석:
    • 도구: CDNPlanet, SecurityTrails
    • CDN 제공업체, 캐시 정책, 노출된 자산 등 확인
  6. 공개 스캔 데이터베이스 활용:
    • 도구: Shodan, Censys, FOFA
    • 노출된 포트, 서비스 배너, 운영체제 정보 등 수집

5.4 탐지 회피 및 익명성 확보

  • VPN 및 Tor 사용: 트래픽 소스를 은폐하여 탐지를 회피합니다.
  • 공개 프록시 서버 활용: 다양한 IP 주소를 통해 요청을 분산시킵니다.
  • 자동화 도구의 Rate Limit 대응: CAPTCHA 우회 및 요청 간 시간 지연 설정을 통해 탐지를 피합니다.

5.5 후속 전술 연계

  • T1593: Search Open Websites/Domains: 수집된 도메인 정보를 바탕으로 추가적인 웹 자산 탐색을 수행합니다.
  • T1598: Phishing for Information: WHOIS에서 수집한 이메일 정보를 활용하여 피싱 공격을 설계합니다.
  • T1190: Exploit Public-Facing Application: 공개 스캔 데이터베이스에서 식별된 취약한 서비스를 대상으로 공격을 수행합니다.

6. T1598 – 정보 수집을 위한 피싱 (Phishing for Information)

6.1 기술 정의

T1598은 공격자가 전자적 수단(이메일, 메시지, 음성 통화 등)을 통해 사회공학 기법을 활용하여 피해자로부터 민감한 정보를 수집하는 기술입니다. 이러한 정보는 이후의 공격 단계에서 활용될 수 있습니다. 이 기술은 Reconnaissance(정찰) 전술에 속하며, 공격자가 대상에 대한 정보를 수집하는 초기 단계에서 사용됩니다.

6.2 하위 기술 구조

T1598.001 – Spearphishing Service

공격자가 제3자 서비스를 통해 스피어피싱 메시지를 전송하여 정보를 수집하는 기법입니다. 예를 들어, 소셜 미디어 플랫폼이나 개인 이메일 서비스를 이용하여 피해자에게 접근할 수 있습니다.

T1598.002 – Spearphishing Attachment

공격자가 악성 첨부파일이 포함된 스피어피싱 이메일을 보내 피해자로부터 정보를 수집하는 기법입니다. 피해자가 첨부파일을 열거나 실행함으로써 민감한 정보를 제공하게 됩니다.

T1598.003 – Spearphishing Link

공격자가 악성 링크가 포함된 스피어피싱 이메일을 보내 피해자로부터 정보를 수집하는 기법입니다. 피해자가 링크를 클릭하면 피싱 사이트로 이동하여 자격 증명 등의 정보를 입력하게 됩니다.

T1598.004 – Spearphishing Voice

공격자가 음성 통화를 통해 피해자로부터 정보를 수집하는 기법입니다. 예를 들어, 공격자가 신뢰할 수 있는 기관을 사칭하여 전화를 걸어 민감한 정보를 요청할 수 있습니다.

6.3 수행 절차

  1. Target identification and information gathering : 공격자는 공개된 소셜 미디어, 조직 웹사이트, 데이터 유출 정보를 활용하여 타겟에 대한 정보를 수집합니다.
  2. Phishing message crafting : 수집된 정보를 기반으로 신뢰할 수 있는 발신자를 사칭하여 피싱 메시지를 작성합니다.
  3. Phishing message delivery : 이메일, 메시지, 음성 통화 등의 수단을 통해 피싱 메시지를 타겟에게 전송합니다.
  4. Data collection : 타겟이 피싱 메시지에 응답하거나 링크를 클릭하면, 공격자는 자격 증명, 개인 정보 등을 수집합니다.

6.4 탐지 및 완화 전략

  • 소프트웨어 구성: SPF, DKIM, DMARC 등의 이메일 인증 메커니즘을 활용하여 발신자 도메인의 유효성을 검증하고 메시지의 무결성을 확인합니다.
  • 사용자 교육: 직원들에게 사회공학 기법과 스피어피싱 시도에 대한 인식을 높이고, 의심스러운 메시지에 대한 대응 방법을 교육합니다.
  • 이메일 필터링: 의심스러운 이메일 활동을 모니터링하고, DKIM+SPF 또는 헤더 분석을 기반으로 발신자가 스푸핑되었는지 탐지합니다.
  • 네트워크 트래픽 모니터링: 비정상적인 데이터 흐름이나 예상치 못한 네트워크 통신을 감지하여 피싱 시도를 탐지합니다.

6.5 후속 전술 연계

  • T1078: 유효한 계정(Valid Accounts): 피싱을 통해 수집된 자격 증명을 활용하여 시스템에 접근할 수 있습니다.
  • T1566.002: 스피어피싱 링크(Spearphishing Link): 수집된 정보를 기반으로 더욱 정교한 스피어피싱 링크를 생성하여 추가 정보를 수집하거나 악성 코드를 배포할 수 있습니다.
  • T1586: 계정 탈취(Compromise Accounts): 피싱을 통해 획득한 계정을 사용하여 조직 내부에 침투하거나 추가 공격을 수행할 수 있습니다.

7. T1589 – Gather Victim Identity Information의 기술적 구조

7.1 기술 정의

T1589 – Gather Victim Identity Information은 공격자가 대상 조직이나 PII(Personal Identifiable Information) 를 수집하는 Reconnaissance 단계의 기술이다. 이 정보는 후속 공격에서 타깃팅의 정밀도 향상, 사회공학 기반 설계, 자격 증명 공격 등의 기반이 된다.
공격자는 대부분 공개된 OSINT(Open Source Intelligence) 자료, 유출 데이터, 메타데이터, 등록 정보 등을 활용하며, 시스템에 직접 접근하지 않고도 다량의 정보를 수집할 수 있다.

7.2 하위 기술 구조

하위 기술 ID이름 설명
T1589.001 Credentials User Name, Password, Hash, Token 등 자격 증명 정보를 수집. 브리치 데이터나 저장소에서 획득.
T1589.002 Email Addresses 조직 및 개인의 이메일 주소 수집. 피싱 캠페인 및 인증 우회에 활용.
T1589.003 Employee Names 직원 실명, 직책, 조직 내 위치 수집. 사회공학, 계정 생성 사칭 등에 활용.
 

7.3 정보 수집 범주 및 출처

 T1589.001 – Credentials

  • 정보 유형: User Name, Password, Encrypted hash , Token
  • 수집 경로:
    • Breach Database (e.g., HaveIBeenPwned, Snusbase, Dehashed)
    • Pastebin, Ghostbin 등의 공유 플랫폼
    • GitHub / GitLab 등에서 하드코딩된 크리덴셜
    • 공개 설정된 S3 버킷
  • 활용 사례:
    • 공격자가 T1078 (Valid Accounts) 혹은 T1110 (Brute Force)에 활용

T1589.002 – Email Addresses

  • 정보 유형: 개인/조직 이메일 주소 & 도메인 패턴
  • 수집 경로:
    • WHOIS 등록 정보
    • LinkedIn 프로필
    • 공개 문서의 메타데이터 (PDF, DOCX)
    • theHarvester, hunter.io, email-format.com
  • 활용 사례:
    • T1566.001 (Spearphishing Attachment), T1586.002 (Email Account Acquisition)

T1589.003 – Employee Names

  • 정보 유형: 이름, 직책, 부서, 경력
  • 수집 경로:
    • LinkedIn, Zoominfo, Crunchbase
    • 조직 홈페이지 및 언론 기사
    • Brute-force name enumeration (e.g., John Smith, Jane.Doe)
  • 활용 사례:
    • 사회공학 캠페인 설계 (T1585.001: Social Media Profile 사칭 등)
    • 스피어피싱 시나리오 고도화

7.4 기술적 수행 절차

  1. 도메인 기반 이메일 및 이름 패턴 수집
    • 대상 도메인 식별 → hunter.io 통해 이름/email 패턴 추출
    • 예시 패턴: firstname.lastname@domain.com, j.smith@domain.com
  2. LinkedIn 기반 구조적 탐색
    • 회사 이름 → "Employees" 섹션에서 전체 재직자 목록 수집
    • 각 재직자 프로필에서 이름, 부서, 경력, 이메일 도출
  3. 크리덴셜 유출 여부 확인
    • haveibeenpwned.com, dehashed, intelx.io에서 이메일 입력 후 dump 확인
  4. 문서 메타데이터 수집
    • ExifTool 또는 FOCA로 PDF/DOCX 파일에서 작성자 이름, 조직명, 이메일 등 추출

7.5 활용 도구

도구명 설명
theHarvester 이메일, 도메인, 계정명 수집 자동화
Maltego 인물 간 관계 시각화 및 추론 가능
LinkedInt LinkedIn 자동 탐색 도구
H8mail 이메일 기반 유출 패스워드 매핑
FOCA 공개 문서 메타데이터 수집 자동화

7.6 후속 전술 연계

 

수집 정보 연계 기술 (TTP) 목적
Credentials T1078 (Valid Accounts) 실제 시스템 침투
Email Addresses T1566.001 (Spearphishing Attachment) 사회공학 기반 피싱
Employee Names T1585.001 (Establish Accounts) 사칭 공격 설계

8. T1597 – Search Victim-Owned Websites의 기술적 구조

8.1 기술 정의

T1597 – Search Closed Sources는 공격자가 피해자에 대한 정보를 수집하기 위해 closed sources를 검색하거나 접근하는 Reconnaissance 기술이다.
이 전술은 일반적인 OSINT(Open Source Intelligence) 방식과 달리, 접근이 제한된 정보원(예: 유료 인텔리전스 보고서, 다크웹 마켓, 가입자 전용 포럼 등)을 활용하여 피해자의 인프라, 구성, 조직 정보, 취약점 등을 비공개적으로 탐색하는 데 목적이 있다.

이 정보는 후속 전술인 Credential Access(TA0006), Initial Access(TA0001), Resource Development(TA0042) 등의 기반이 되는 Reconnaissance 전략의 일환이다.

8.2 정보 수집 범주 및 주요 대상

정보 유형 설명
유료 위협 인텔리전스 보고서 보안 벤더가 제공하는 침해사고 분석, 취약점, 공격 캠페인 동향 등
다크웹 마켓 및 유출 데이터 자격 증명, 내부 네트워크 설계도, 구성도, API 키 등
폐쇄형 해커 포럼 피해자 언급, 도메인, 서비스 정보 공유 게시글
정부·기관 전용 포털 공공 파트너 또는 B2B 관계를 전제로 접근 가능한 보안 문서
내부자 리크 또는 계약사 공유 자료 권한 있는 내부자 또는 협력사 통해 입수된 비공개 정보
 

8.3 하위 기술별  구조

T1597.001 – Threat Intel Vendors

기술 정의:
공격자는 유료 위협 인텔리전스 플랫폼에서 제공하는 보고서, 데이터베이스, 통계 자료를 활용하여 피해자 또는 타깃 조직과 관련된 정보(공격 이력, 도메인, 취약점, 보안 상태)를 수집한다. 이 정보는 고도화된 공격 설계에 직접적으로 활용된다.

예시:

  • Recorded Future에서 특정 기업 도메인 관련 과거 공격 이력 및 연관된 인프라 정보 조회
  • Flashpoint를 통해 피해자의 도메인이 언급된 다크웹 토론 기록 열람
  • IntSights 또는 Cybersixgill 등에서 표적 산업군의 위협 동향 수집

기술 포인트:

  • 상업적 Threat Intelligence Feed 사용
  • 피해자 중심 키워드/도메인 기반 트래킹
  • TTP 기반 공격군 유사도 탐색

T1597.002 – Purchase Technical Data

기술 정의:
공격자는 다크웹 마켓, 폐쇄형 커뮤니티 또는 제3자 브로커를 통해 피해자와 관련된 기술 자료를 구매한다. 이 정보는 취약한 시스템 식별, 인증 우회, 내부 시스템 침투 등에 활용된다.

예시:

  • 유출된 VPN 계정 정보, RDP 자격 증명 구매
  • 내부 시스템 구성도, 사용자 목록, 이메일 dump 구매
  • .onion 기반 마켓에서 특정 기업 고객 리스트나 내부 리포트 검색

기술 포인트:

  • 시장 분석 및 타겟 키워드 기반 구매
  • 유출 Credential과 조직 인프라 정보 수집
  • 사전 인증된 포럼 회원 또는 다크웹 신원 이용

8.4 전술적 수행 절차

  1. Target Keyword Development and Search Strategy Design
    • 조직 도메인, 브랜드명, 이메일 도메인 등 기반으로 검색 키워드 도출
    • Closed Source 특성상 특정 API 또는 브라우저 세션 자동화 적용
  2. Correlation Analysis with Threat Actor Forums and Dark Web Sources
    • “CompanyX VPN credentials”, “CompanyY Email Dump” 등으로 검색
    • 외부 브로커 또는 침해자와 연락 통한 자료 거래 수행
  3. Refinement and Structuring of Purchased Intelligence Artifacts
    • 수집한 자격증명, 설계도, 내부 IP 주소 등을 TTP별로 분류
    • 후속 공격 설계를 위한 경로 매핑 수행

8.5 활용 도구 및 기술 수단

분류 도구/수단 설명
유료 TI 분석 도구 Recorded Future, Flashpoint, Cybersixgill 정기적으로 최신 위협 보고서, 유출 키워드 제공
폐쇄형 포럼 접근 Exploit.in, BreachForums (과거), Telegram 비공개 그룹 구매/교환 기반 유출 정보 공유
다크웹 트래킹 Tor + Ahmia, onion.cab, recon-ng .onion 마켓 검색 또는 자동화 크롤링
분석 자동화 Custom Scraper (Python, BeautifulSoup, Selenium) 클로즈드 웹사이트 크롤링 및 로그인 기반 자료 수집
 

8.6 후속 전술 연계

확보 정보 연계 전술
Credentials T1078: Valid Accounts, T1552: Unsecured Credentials
Internal Documentation T1566: phishing, T1586: Compromise Accounts
Network Toplogy T1190: Exploit Public-Facing Application, T1210: Exploitation of Remote Services

9. T1591 – Gather Victim Organization Information의 기술적 구조

9.1 기술 정의

T1591은 공격자가 특정 조직(enterprise-level victim)의 물리적, 구조적, 운영적 특성에 대한 정보를 수집하는 Reconnaissance 기술이다. 이는 단순 기술 정보(OS, IP 등)의 수집을 넘어서, 조직의 외부/내부 행정 구조, 업무 흐름, 지리적 위치, 관계사, 인사 배치 등 전략적 환경 정보를 포괄한다.

이러한 정보 Determination of Optimal Attack Timing, Refinement of Social Engineering Techniques, Establishment of Credential Compromise Pathways, lateral movement 계획 등 공격 설계 전반에 기여한다. 조직 정보는 개별 시스템을 뛰어넘는 공격의 방향성과 효율성 결정 요인으로 기능하며, 특히 APT 공격에서 주요 전술 중 하나로 분석된다.

9.2 정보 수집 범주 및 주요 경로

수집 항목 설명 수집 예시
조직 구조 및 계열사 본사, 지사, 계열사, 관계사 정보 IR 보고서, 기업 IR 문서, Wikipedia
물리적 위치 본사/지사 주소, 데이터센터 위치 Google Maps, 부동산 정보, BizProfile
업무 시간 및 일정 출퇴근 시간, 점심시간, 주말/공휴일 SNS, Glassdoor, 채용 공고
조직 문화 및 방식 CI/CD 전략, 재택근무 여부, 보안 수준 기술 블로그, 발표자료, 기사
조직 내 역할 주요 인물, 관리자, 의사결정자 LinkedIn, 조직도, IR 보고서
관계사 및 공급망 MSP, 외주 파트너, 계약 업체 뉴스 기사, SEC 보고서, 제휴사 목록
 

9.3 하위 기술별 구조적 분석

T1591.001 – Determine Physical Locations

정의:
공격자는 피해 조직의 물리적 위치를 식별하여, 물리적 침입, 전력 및 통신 인프라의 위치, 지역 보안 정책 등을 파악한다. 이 정보는 대상 조직의 지리적 관할권 파악, 지사/센터 간 공격 경로 설계, 전력 및 네트워크 우회 시나리오 등과 직접 연결된다.

수집 경로 및 예시:

  • Google Maps Street View 기반 데이터센터 외관 파악
  • BizProfile, NICE 등에서 사업자 주소 확인
  • 재난복구(DR) 센터, 백업 인프라 위치 분석
  • SNS 기반의 사무실 내부 촬영물 분석

활용 사례:

  • DR 센터의 지역 정전에 맞춘 타이밍 공격
  • 지사 VPN 서버 위치 파악을 통한 lateral movement

T1591.002 – Business Relationships

정의:
피해자의 외부 파트너, 계약사, 공급업체(MSP), 고객사 등을 파악하는 기술이다. 공급망 공격(Supply Chain Attack), 외부 협력사 Spear Phishing, Backdoor 악용 등에 직접적으로 연계된다.

수집 경로 및 예시:

  • 공급망 계약 보고서, 국가 기술평가 시스템(NTIS)
  • 공공조달 내역 확인(G2B, 나라장터 등)
  • 제휴사/계열사 도메인 enumeration
  • 파트너사 정보가 포함된 PDF 문서 수집

활용 사례:

  • 협력사 도메인을 위조한 이메일로 피싱 공격
  • MSP 계정을 통한 RMM 악용 공격 경로 설계

T1591.003 – Identify Business Tempo

정의:
업무 시간, 휴무일, 주간/월간 운영 사이클 등 피해 조직의 동적 운영 패턴을 식별한다. 이는 공격 타이밍 결정, 비가동 시간대 침투, 비정상 행위 은폐 등에 기여한다.

수집 경로 및 예시:

  • SNS의 "업무 종료", "점심시간" 태그
  • Glassdoor 리뷰, 회사 생활 관련 블로그
  • 구글 캘린더 설정 실수 → 운영 일정 노출
  • 팀/부서별 회의 일정, 연례 행사 자료

활용 사례:

  • 명절 연휴 기간 원격 접속 서버 노려 공격
  • 정기 점검 시간에 맞춘 C2 연결 시도

T1591.004 – Identify Roles

정의:
조직 내 의사결정자, 보안 관리자, 인프라 책임자 등의 역할 및 권한 구조를 식별하는 기술이다. Targeting Phishing, 내부자 사칭, 계정 도용 공격 등에 이용된다.

수집 경로 및 예시:

  • LinkedIn 직함 기반 탐색
  • 발표자료 슬라이드에서 역할 및 담당자 노출
  • github 활동에서 DevOps 운영자 확인
  • 보안 관련 기술 블로그 내 필진/작성자

활용 사례:

  • 보안 담당자 사칭 후 VPN 접근 요청
  • 주요 관리자 대상 스피어피싱 이메일 발송

9.4 기술적 수행 절차 (4단계)

  1. 수집 전략 수립
    • 조직명, 도메인, 산업군, 계열사 등 키워드 정의
    • 대상별로 하위 기술(T1591.001~004) 매핑
  2. OSINT 기반 정보 수집
    • 구글 dork: site:linkedin.com/in/ "Company"
    • site:glassdoor.com + "회사명" + 업무시간
  3. 비정형 자료 정규화
    • 위치 좌표를 주소로 변환, 시간 정보는 UTC 기준으로 환산
  4. 공격 설계 흐름 통합
    • “업무 시간 외 활동 가능 시간 + 보안 책임자 계정 확보” 시나리오 구축

9.5 활용 도구

분류 도구 기능
메타데이터 분석 FOCA, Exiftool 조직명/작성자 기반 문서에서 기업 구조 파악
관계 분석 Maltego 인물-조직-도메인 간 관계 시각화
다목적 OSINT Spiderfoot, Recon-ng 조직 정보 수집 자동화
위치 정보 분석 Google Maps API, OpenStreetMap 지사 위치 및 건물 구조 추적
일정 파악 LinkedIn, Medium, YouTube 행사/발표 일자 추적

9.6 후속 전술 연계

확보 정보 연계 전술 활용 방식
DR센터 위치 T1210: Exploitation of Remote Services 비가동 지역 시스템 공격
파트너사 도메인 T1566.002: Spearphishing Link 도메인 유사 피싱 페이지 설계
관리자 이름 및 계정 T1078: Valid Accounts 비밀번호 추측 또는 Credential Stuffing
근무 시간 T1071: Application Layer Protocol C2 연결 시간대 설정

10. T1592 – Gather Victim Host Information의 기술적 구조

10.1 기술 정의

T1592는 공격자가 피해자 시스템의 로컬 호스트 환경에 대한 기술적 메타데이터를 수집함으로써 이후 공격 경로 및 전략 수립에 필요한 기반 정보를 확보하는 Reconnaissance 전술이다. 이 기술은 외부 공개 정보 또는 공격 중 확보한 정보를 기반으로 피해자의 호스트에 존재하는 운영 체제(OS), 하드웨어 구성, 펌웨어 버전, 클라이언트 설정, 설치된 소프트웨어 정보 등을 포괄적으로 수집하는 행위로 구성된다. 해당 정보는 취약점 식별, 공격 환경 적합성 판단, 사회공학 기반 공격의 설계 등 다양한 목적으로 활용된다.

공격자는 T1592의 다양한 하위 기술을 조합하여 수집 정보를 정제하고, 대상 호스트의 구조적/운영상 특성을 파악한 후 고정밀 공격 모델을 구축할 수 있다.

10.2 정보 수집 범주 및 주요 대상

범주 상세 내용
운영 체제 정보 OS 이름, 버전, 서비스 팩, 커널 빌드, 아키텍처 (32/64bit 등)
하드웨어 정보 제조사, 장치 모델명, BIOS 버전, TPM 유무, 장치 ID, MAC 주소 등
설치 소프트웨어 및 서비스 정보 백신/EDR/방화벽 제품명, 패치 상태, 주요 프로그램 목록, 런타임 환경(Java/.NET 등)
펌웨어 구성 BIOS/UEFI 버전, Secure Boot 활성화 여부, 드라이버 서명 상태 등
클라이언트 설정 언어, 지역, 시간대, 호스트 이름, 사용자 이름, 관리자 권한 유무, 가상화 여부
 

10.3 하위 기술 구조

T1592.001 – Hardware

이 하위 기술은 공격자가 피해자의 물리적 하드웨어 구성 요소를 식별하기 위한 수집 행위로 구성된다. BIOS ID, 하드웨어 제조사, 제품명, 시리얼 번호, TPM 존재 여부, CPU/메모리 정보 등이 주요 타깃이며, 해당 정보는 시스템 타겟팅 적합성 평가 및 펌웨어 수준 공격 가능성 분석에 활용된다.

  • 활용 시나리오 예시:
    • UEFI 루트킷 공격 설계 시 대상 BIOS 버전 파악
    • 암호화 장치(TPM, HSM 등) 우회 여부 사전 판단

T1592.002 – Software

대상 시스템에 설치된 운영 체제 및 애플리케이션 정보를 식별하는 하위 기술로, 보안 도구의 종류, 패치 적용 상태, 브라우저 버전, 클라이언트 런타임(JRE, Python 등)의 상세 정보를 포함한다. 수집된 정보는 제로데이, CVE 매칭, DLL Side-Loading 공격 등에 활용될 수 있다.

  • 도구 예시:
    • Shodan을 통해 RDP 서비스 버전, Apache 버전 등 획득
    • GitHub README 또는 스크립트에서 pip list, dpkg-query 결과 포함

T1592.003 – Firmware

BIOS/UEFI, 디바이스 드라이버, 칩셋 컨트롤러 등의 펌웨어 버전을 식별하는 하위 기술로, 하드웨어에 근접한 수준의 공격을 준비하기 위한 사전 단계이다. Intel ME, AMD PSP, System Management Mode(SMM)와 관련된 구조 분석 시 필수 데이터로 기능한다.

  • 정보 수집 경로:
    • 서버 또는 가상머신에서 노출된 IPMI 인터페이스
    • 시스템 에러 메시지 및 crash dump 분석

T1592.004 – Client Configurations

클라이언트 디바이스의 로컬 설정 정보를 식별하는 하위 기술로, 언어/로케일 설정, 사용자 이름/권한, 가상머신 여부, 디스크 마운트 상태, 호스트 이름 등 사용자 환경에 대한 정보를 중심으로 수집한다. 이 정보는 사회공학 공격 시 피해자 맥락 설정, 가상환경 탐지 우회, 언어 기반 피싱 설계 등에서 중요하게 사용된다.

  • 특이 활용 예시:
    • ‘KST’, ‘ko-KR’ 등의 로케일 정보 기반 한글 피싱 설계
    • VirtualBox, vmtoolsd 프로세스 탐지로 샌드박스 회피

10.4 정보 수집 전략 및 기술적 경로

10.4.1 공개 소스 기반 수집

  • 문서 메타데이터 분석: FOCA, Exiftool 등 도구로 PDF/DOCX에서 작성자 정보, 장치명, 호스트 ID, 계정명 식별
  • Pastebin 및 포럼: 유출된 시스템 세팅 파일, config.ini 등에서 경량화된 하드웨어/소프트웨어 정보 확인
  • 코드 저장소: GitHub 설정 파일에서 OS 버전, pip/dpkg 목록, 소프트웨어 dependency 정보 확보
  • 웹 서버 응답: Apache/Nginx version, 응답 헤더의 X-Powered-By 필드

10.4.2 인터랙션 기반 수집 (공격자-피해자 상호작용 존재)

  • User-Agent String 수집: 피싱 사이트 접속 로그를 통해 OS, 브라우저, 디바이스 파악
  • Client-side Script 수집: navigator 객체, window.name, screen 해상도 등 JS 기반 정보 추출
  • 로그 수집: 공격자가 확보한 로그 파일 내 hostname, device name, patch level 포함 여부 확인

10.5 활용 도구

도구 기능
FOCA Word, PDF, PPT의 메타데이터로부터 OS, 사용자 계정, 장치명 등 추출
Shodan / Censys 노출된 시스템의 운영 체제, 오픈 서비스, 펌웨어 버전 확인
Wappalyzer 웹 호스팅 환경 및 클라이언트 런타임 구성 식별
Git Dorking 설정 파일 내 패키지 목록, 설치 이력 검색
JSParser, LinkFinder 클라이언트 측 설정 정보 수집 (window/navigator 객체 기반)
 

10.6 후속 전술 연계

  • T1203 – Exploitation for Client Execution
    • 수집된 OS 및 소프트웨어 정보를 기반으로 적합한 CVE Exploit 적용
  • T1078 – Valid Accounts
    • hostname 기반으로 로컬 사용자 계정 식별 및 Credential Stuffing 공격 설계
  • T1087 – Account Discovery / T1016 – System Network Configuration Discovery
    • 장비 및 OS 정보에 기반한 내부 네트워크 구조 및 계정 탐색 공격 설계

11. T1593 – Search Open Sources의 기술적 구조

11.1 기술 정의

T1593은 MITRE ATT&CK 프레임워크의 Reconnaissance 전술(TA0043)에 속하는 기술로, 공격자가 피해자 조직과 관련된 정보를 인터넷상에 공개된 웹사이트와 도메인을 통해 수집하는 정찰 기법이다. 이 기술은 직접적인 시스템 침투 없이도, 조직의 IT 자산, 인적 구조, 운영 흐름, 기술적 스택, 내부 자원 구성 등에 대한 인사이트를 제공하며, 후속 공격 전략의 기초 자료로 활용된다. 정보 수집은 검색 엔진 인덱스, 소셜 미디어, 공개된 코드 저장소 등 다양한 채널을 활용하여 진행된다.

이 기술은 주로 Passive Reconnaissance의 일환으로 수행되며, 대상 시스템에 직접적인 패킷을 전송하지 않기 때문에 탐지 회피에 유리하다. 그러나 정적 페이지, 보도자료, 개발자 게시물, 인증서 메타데이터 등 다양한 레이어의 정보가 노출되어 있다면, 단순한 웹사이트 탐색만으로도 공격자는 매우 정밀한 조직 내부 구조를 파악할 수 있다.

11.2 하위 기술 구조

MITRE ATT&CK는 T1593을 세부적으로 다음의 세 가지 하위 기술로 구분하고 있다. 각 하위 기술은 수집 대상의 유형과 정보의 출처, 활용 목적에 따라 분화된다.

T1593.001 – Social Media

공격자는 Facebook, Twitter(X), LinkedIn, YouTube 등의 소셜 미디어 플랫폼에서 타깃 조직 및 구성원에 대한 정보를 수집할 수 있다. 여기에는 임직원의 이름, 직급, 근무 위치, 조직도, 최근 프로젝트, 채용 계획, 내부 이슈 등이 포함될 수 있으며, Spear Phishing 설계, 사칭 프로필 제작, 감정 기반 사회공학 공격의 근거로 활용된다.

T1593.002 – Search Engines

검색 엔진(Google, Bing, DuckDuckGo, Yandex 등)은 공격자에게 비공식적 공개 자료를 포함해 조직 관련 민감 정보에 대한 접근을 가능케 한다. 공격자는 검색 쿼리(Google Dorking)를 통해 특정 파일 유형(PDF, DOCX, XLSX), 인덱싱되지 말아야 할 디렉토리(index.of), 내부 URL 등을 파악할 수 있다.

T1593.003 – Code Repositories

GitHub, GitLab, Bitbucket, SourceForge 등과 같은 공개 코드 저장소에서 공격자는 조직 내부 개발 리소스, 개발자 계정명, 라이브러리 의존성, 환경설정 파일, 하드코딩된 자격 증명, API Key 등을 수집할 수 있다. 이는 T1078 (Valid Accounts), T1552.001 (Credentials in Files) 전술로의 연계를 가능하게 한다.

11.3 기술적 수행 절차

1. initial Target 도메인 식별

  • WHOIS, crt.sh, Censys, SecurityTrails 등에서 조직의 공식 도메인 및 연계된 서브도메인을 식별
  • GitHub 등에서 custom domain 사용 기록 및 CNAME 레코드 확인

2. Social Media 정보 수집

  • LinkedIn에서 조직 페이지 → 직원 추출 → 직무, 기술 스택, 조직도 재구성
  • Twitter, Facebook에서 위치 기반 포스팅, 행사 정보, 정책 변화, 내부 불만 추적

3. Search Engine 기반 정밀 검색

  • Google Dorking 예시:
    • site:domain.com filetype:pdf password
    • intitle:"index of" "backup"
    • site:domain.com inurl:admin
  • Google Hacking Database 활용하여 검색 시그니처 조합

4. 공개 인증서 메타데이터 분석

  • crt.sh를 활용하여 Certificate Transparency Logs 분석
  • SAN 필드 기반으로 내부 서버 식별

5. Code Repository 크롤링

  • GitHub 검색 쿼리:
    • filename:.env domain.com
    • path:/config api_key
    • site:github.com "AWS_SECRET_ACCESS_KEY"
  • 정규표현식 및 Entropy 기반 분석을 통한 민감 정보 추출

11.4 활용 도구

도구 설명
Amass / Subfinder 도메인 및 서브도메인 자동 수집
crt.sh / Censys CT 로그 및 인증서 기반 도메인 식별
dnsx / dig / host DNS 레코드 수집
FOCA / Exiftool 문서 메타데이터 기반 인프라 정보 수집
gau / waybackurls 과거에 인덱싱된 URL 및 백엔드 경로 수집
GitLeaks / TruffleHog / Shhgit 공개 코드 저장소에서 API Key, Credentials 탐지
theHarvester / Maltego / Spiderfoot 종합적인 OSINT 통합 수집 및 시각화 도구
Social-Analyzer / Sherlock / GHunt 인물 중심 소셜 미디어 탐색 도구
 

11.5 후속 전술 연계

  • T1566.002 – Spearphishing Link: 수집된 이메일, 소셜미디어 정보 기반 스피어피싱 설계
  • T1583.001 – Domains: 유사 도메인 생성 및 클론 사이트 운영
  • T1190 – Exploit Public-Facing Application: 웹자산 취약점 분석 및 침투
  • T1071.001 – Web Protocols: 수집된 웹 경로 기반 C2 채널 설계
  • T1552.001 – Credentials in Files: GitHub 등에서 수집된 인증정보 활용

12. T1594 – Search Victim Social Media의 기술적 구조

12.1 기술 정의

T1594는 MITRE ATT&CK 프레임워크의 Reconnaissance 전술(TA0043)에 속하는 기술로, 공격자가 피해자 조직이 소유한 웹사이트를 탐색하여 공격 설계에 활용할 수 있는 정보를 수집하는 기법입니다. 이러한 웹사이트에는 부서 이름, 물리적 위치, 주요 직원의 이름, 역할, 연락처 정보(예: 이메일 주소) 등이 포함될 수 있으며, 비즈니스 운영 및 관계에 대한 세부 정보도 포함될 수 있습니다.

공격자는 수동적으로 웹사이트를 탐색하거나, 자동화된 도구를 사용하여 숨겨진 디렉터리나 파일을 식별하려고 시도할 수 있습니다. 이러한 정보는 피싱, 신뢰된 관계를 통한 초기 접근 등 다른 형태의 정찰 기회를 제공하거나, 운영 리소스를 설정하거나, 초기 접근을 위한 기회를 제공할 수 있습니다.

12.2 수집 범주 및 대상

  • 조직 구조 및 부서 정보: 웹사이트의 '회사 소개', '조직도' 섹션 등을 통해 조직의 부서 이름, 역할, 위치 등을 파악할 수 있습니다.
  • 직원 정보: 이름, 직책, 이메일 주소 등 주요 직원의 정보를 수집하여 사회공학적 공격에 활용할 수 있습니다.
  • 비즈니스 운영 및 관계: 웹사이트에 게시된 보도자료, 파트너십 정보 등을 통해 조직의 비즈니스 운영 방식과 외부 관계를 파악할 수 있습니다.
  • 숨겨진 디렉터리 및 파일: robots.txt, sitemap.xml 파일을 분석하거나 디렉터리 브루트포싱을 통해 숨겨진 디렉터리나 파일을 식별할 수 있습니다.

12.3 수행 절차

  1. 웹사이트 구조 분석: 웹사이트의 메뉴 구조, URL 패턴 등을 분석하여 정보가 위치할 가능성이 있는 섹션을 식별합니다.
  2. robots.txt 및 sitemap.xml 분석: 이러한 파일을 통해 검색 엔진에 의해 인덱싱되지 않도록 설정된 디렉터리나 파일을 식별할 수 있습니다.
  3. 디렉터리 브루트포싱: 자동화된 도구를 사용하여 일반적으로 사용되는 디렉터리 이름을 시도하여 숨겨진 디렉터리나 파일을 찾습니다.
  4. 문서 메타데이터 분석: 웹사이트에 업로드된 문서(PDF, DOCX 등)의 메타데이터를 분석하여 작성자 이름, 이메일 주소, 컴퓨터 이름 등 추가 정보를 수집합니다.
  5. 연락처 양식 활용: 웹사이트의 연락처 양식을 통해 조직과의 상호작용을 시도하거나, 피싱 이메일을 발송하는 데 사용할 수 있습니다.

12.4 활용 도구

도구 설명
dirsearch, gobuster, ffuf 디렉터리 및 파일 브루트포싱 도구로, 숨겨진 리소스를 식별하는 데 사용됩니다.
FOCA, Exiftool 문서의 메타데이터를 추출하여 추가 정보를 수집합니다.
Burp Suite, OWASP ZAP 웹 애플리케이션의 구조를 분석하고, 숨겨진 리소스를 식별하는 데 사용됩니다.
curl, wget 웹사이트의 콘텐츠를 다운로드하거나, HTTP 응답을 분석하는 데 사용됩니다.
Wayback Machine 삭제되었거나 변경된 웹페이지의 이전 버전을 확인할 수 있습니다.
 

12.5 후속 전술 연계

  • T1566.002 – Spearphishing Link: 수집된 이메일 주소를 활용하여 스피어피싱 공격을 수행할 수 있습니다.
  • T1585.001 – Social Media Accounts: 수집된 직원 정보를 기반으로 소셜 미디어 계정을 생성하거나, 기존 계정을 사칭하여 공격을 수행할 수 있습니다.
  • T1078 – Valid Accounts: 수집된 자격 증명을 활용하여 조직의 시스템에 접근할 수 있습니다.
  • T1190 – Exploit Public-Facing Application: 식별된 웹 애플리케이션의 취약점을 이용하여 시스템에 침투할 수 있습니다.

13. 참고문헌

  1. MITRE Corporation, "MITRE ATT&CK Framework," https://attack.mitre.org
  2. Shodan. https://www.shodan.io
  3. crt.sh - Certificate Transparency Log Database. https://crt.sh
  4. GitHub Dorking Project. https://github.com/techgaun/github-dorks
  5. OWASP Amass. https://owasp.org/www-project-amass/
  6. Spiderfoot Automation Framework. https://www.spiderfoot.net