PRE이란?
PRE은 Pre-attack의 앞 3글자를 뜻한다. 해당 Matrix에선 사전 공격에 대한 기술 및 공격 기법에 대한 정보가 제공된다.
여기서 말하는 사전 공격은 공격 전 단계에서 수행하는 활동으로 정보 수집, 인프라 및 환경 파악, 목표 식별 등의 기술 및 공격 기법을 말한다.
PRE Matrix 상세 설명
Reconnaissance (정찰)
공격자가 대상 조직에 대한 정보를 수집하기 위해 사용하는 기술을 의미한다. (ex. 악성 URL 탐지, 자동화된 키워드 검색 등)
Active Scanning (능동 스캔)
대상 시스템과 네트워크에 대한 취약점을 찾기 위한 스캐닝 활동을 의미한다.
- Scanning IP Blocks (IP 블록 스캐닝)
대상의 IP 블록을 스캔하여 어떤 IP 주소가 사용 중인지, 각 호스트에 대한 정보를 수집할 수 있다.
이러한 정보는 다른 정찰 작업과 연계되어 새로운 취약점을 찾거나 다른 공격으로 갈 수 있는 발판으로 활용 될 수 있다.
[도구 목록]
네트워크 스캐닝 - Nmap, Naabu, Advanced IP Scanner, SoftPerfect - Vulnerability Scanning (취약점 스캐닝)
악용할 수 있는 취약점을 찾기 위해 취약점 스캔을 실시한다.
이는 취약한 소프트웨어나 버전 정보를 수집하여 공격에 이용될 수 있는지 확인하는 것이다.
[도구 목록]
웹 취약점 스캐닝 - Acunetix WVS, AppScan, AppSpider 등 - Wordlist Scanning (단어목록 스캐닝)
무차별 대입 및 크롤링 기술을 사용하여 인프라를 반복적으로 조사할 수 있다.
이 기술은 Brute Force와 유사한 방법을 사용하지만 유효한 자격 증명에 사용하는 것이 아닌 컨텐츠 및 인프라를 식별하기 위해 사용된다.
[도구 목록]
웹 컨텐츠 스캐닝 - Dirb, DirBuster, GoBuster, katana 등
클라우드 버킷 스캐닝 - s3recon, GCPBucketBrute 등
Gather Victim Host Information (피해자 호스트 정보 수집)
대상의 호스트에 대한 정보 수집을 통해 개인 정보와 호스트에 대한 세부 정보를 수집한다.
- Hardware
희생자의 호스트 하드웨어 정보 수집하여 공격에 활용할 수 있다. 정보는 카드/생체인식기, 전용 암호화 하드웨어 등이 포함될 수 있다. 직접 수집하거나 피싱을 통해 수집할 수 있으며, 정보 누출 사이트 및 구매 청구서 등을 통해 수집할 수도 있다. - SoftWare
희생자의 호스트 소프트웨어 정보 수집하여 공격에 이용할 수 있다.
직접 수집하거나 피싱, 악성 컨텐츠 등을 통해 정보를 수집할 수 있으며, 인터넷에 노출된 정보를 수집할 수도 있다. - Firmware
희생자의 펌웨어 정보 수집하여 공격 계획을 세울 수 있다.
펌웨어 정보는 특정 호스트의 종류와 비전 등을 포함하며, 환경에 대한 정보를 유추하는 데 사용될 수 있다. - Client Configurations
희생자의 클라이언트 구성 정보 수집할 수 있다.
정보는 운영 체제 버전, 가상화, 아키텍처, 언어, 시간대와 같은 다양한 설정 정보를 포함한다.
Gather Victim Idntity Information (피해자 식별 정보 수집)
대상 조직 내에서 사용자나 시스템과 관련된 식별 정보를 수집하여 Spear Phishing과 같은 공격에 활용한다.
- Credentials
공격자는 희생자의 자격 증명 정보를 피싱, 웹사이트 해킹, 데이터 유출 등을 통해 수집한다. - Email Addresses
공격자는 조직의 공용 이메일과 직원용 이메일 주소를 수집할 수 있으며, 이를 통해 다양한 API를 사용하여 검색도 가능하다.
이메일 주소는 온라인이나 기타 액세스 가능한 데이터 세트에서 쉽게 노출될 수 있으므로 수집이 용이하다. - Employee Names
직원 이름 수집을 통해 공격자는 이메일 주소를 추출하거나 믿을만한 미끼를 만들 수 있다.
Gather Victim Network Information (피해자 네트워크 정보 수집)
대상 조직의 네트워크 정보를 수집하여 타겟팅에 이용할 수 있다.
- Domain Properties
공격자는 피해자의 네트워크 도메인과 해당 속성에 대한 정보를 수집할 수 있다.
이 정보는 WHOIS 및 API 끝점을 통해 노출될 수 있다. - DNS
공격자는 대상 지정 중에 사용할 수 있는 피해자의 DNS 정보를 수집할 수 있다.
DNS 정보에는 대상의 하위 도메인, 메일 서버, 호스트에 대한 주소 지정을 설명하는 레코드 등 다양한 세부 정보가 포함된다. 공격자는 DNS를 통해 세부 정보를 쿼리하거나 개방형 기술 데이터베이스 검색을 통해 이 정보를 수집할 수 있다. - Network Trust Dependencies
공격자는 대상 지정 중에 사용할 수 있는 피해자의 네트워크 신뢰 종속성에 대한 정보를 수집할 수 있다.
이 정보는 네트워크 액세스가 연결된 제3자 조직/도메인 등 다양한 세부 정보가 포함될 수 있습니다. - Network Topology
공격자는 대상을 공격할 때 사용할 수 있는 네트워크 토폴로지 정보를 수집할 수 있다.
네트워크 토폴로지 정보에는 외부 및 내부 네트워크 환경의 물리적 및 논리적 배열을 비롯해 네트워크 장치 및 기타 인프라에 대한 세부 정보가 포함될 수 있다. - IP Addresses
공격자는 대상의 IP 주소를 수집하여 조직 규모, 물리적 위치, 인터넷 서비스 제공 업체, 공개적으로 노출된 인프라와 같은 정보를 알아낼 수 있다. - Network Security Appliances
공격자는 대상을 지정할 때, 피해자의 네트워크 보안 어플라이언스(방화벽, 콘텐츠 필터, 프록시 등)에 대한 정보를 수집할 수 있다.
이 정보는 공격자가 피해자의 네트워크 침입 탐지을 피하기 위해 사용되며, 네트워크 기반 침입 탐지 시스템(NIDS) 또는 방어적인 사이버 보안 운영과 관련된 기타 어플라이언스에 대한 정보를 수집할 수도 있다.
Gather Victim Org Information (피해자 조직 정보 수집)
피해자의 조직에 대한 정보 수집을 통해 부서, 비즈니스 운영의 세부 사항, 주요 직원 직책 및 업무 등의 다양한 정보를 활용하여 타겟팅에 이용할 수 있다.
- Determine Physical Locations (물리적 위치 확인)
공격자는 대상의 물리적 위치 정보를 수집하여 공격에 이용할 수 있다.
피해자 조직의 물리적 위치 정보는 주요 자원 및 인프라가 위치한 장소를 비롯하여 다양한 세부 정보를 포함할 수 있다.
이 정보는 피해자가 운영하는 법적 관할권 및 권한을 나타낼 수도 있다. - Business Relationships (기업 간 협력 관계)
공격자는 대상을 지정하는 동안 사용할 수 있는 피해자의 비즈니스 관계에 대한 정보를 수집할 수 있다.
이 정보에는 연결된 네트워크 액세스를 가진 제2, 제3자 조직/도메인(관리 서비스 공급자, 계약자 등) 및 하드웨어 및 소프트웨어 자원의 공급망 및 발송 경로와 같은 다양한 세부 정보가 포함될 수 있다.
공격자는 정보 피싱을 통해 직접 정보를 수집하거나, 소셜 미디어 또는 피해자 소유 웹사이트와 같은 접근 가능한 데이터를 통해 정보를 수집할 수 있다. - Identify Business Tempo (대상의 비즈니스 활동 정보)
공격자는 대상의 비즈니스 활동 정보를 수집하여 공격 계획에 활용할 수 있다.
이 정보는 조직의 운영 시간 및 구매/출하 일정과 같은 다양한 세부 정보를 포함할 수 있다.
정보 수집은 다양한 방법(피싱, 스니핑, 사회공학적 공격 등)으로 이루어질 수 있으며, 소셜 미디어나 검색 데이터를 통해 노출될 수 있다. - Identify Roles (대상 식별 정보)
공격자는 대상 조직 내 신원 및 역할 정보를 수집하여 대상 지정에 이용할 수 있다.
비즈니스 역할에 대한 정보는 주요 인사의 식별 가능한 정보 및 접근 가능한 데이터/자원을 포함하여 대상 세부 정보를 드러낼 수 있다.
공격자는 정보 피싱 또는 소셜 미디어, 피해자 소유 웹사이트 등을 통해 이러한 정보를 수집할 수 있다.
Phishing for Information (정보 피싱)
사회 공학 기술을 이용하여 Spear Phishing 등의 방법으로 희생자로부터 중요 정보를 획득하려는 행위
- Spearphishing Service
공격자들은 타겟팅 중요 정보를 얻기 위해 사회공학 기술을 사용해 사람들을 속이는 사전 정성조사 스피어 피싱을 시도할 수 있다.
스피어 피싱은 소셜 미디어 서비스, 개인 웹메일 등을 통해 메시지를 보내 직원들에게 이직 기회와 같은 내용으로 접근하여 다양한 정보를 요구한다. - Spearphising Attachment
공격자는 악성 첨부 파일이 있는 스피어 피싱 메시지를 보내 민감한 정보를 추출하여 공격 계획에 활용할 수 있다. - Spearphishing Link
공격자는 악성 링크가 있는 스피어피싱 메시지를 보내어 타깃에서 민감한 정보를 얻을 수 있다.
악성 이메일은 흔히 텍스트와 함께 제공되는 링크를 포함하며, 이 링크를 클릭하도록 유도한다.
공격자는 이를 통해 웹 양식을 통해 정보를 수집하거나, 가짜 웹사이트에서 정보를 수집할 수도 있다.
Search Closed Sources (비공개 정보 수집)
대상의 비공개된 정보를 다크웹에서 유출된 개인정보 데이터베이스나 신뢰할 만한 사이트의 해킹을 통해 획득한 정보를 이용하여 타겟팅을 할 수 있다.
- Threat Intel Vendors (위협 인텔리전스 벤더)
위협 인텔리전스 벤더의 비공개 데이터에서 정보를 수집하여 타겟팅에 이용할 수 있다.
이러한 정보에는 타깃 산업, 속성 주장, TTP/대응책 등과 같은 유형의 추세가 포함될 수 있다. 또한 정보는 보안 업체의 구독이나 상용화 된 형태로 구매 가능하다. - Purchase Technical Data
공격자는 대상에 대한 기술적 정보를 구매할 수 있다.
상업적으로 이용 가능한 사이트에서 대상 정보를 구매하거나 다크 웹이나 사이버 범죄 블랙 마켓에서 구입할 수 있다.
Search Open Technical Databases (공개된 기술 데이터베이스 수집)
대상 조직에 대한 정보를 수집하기 위해 도메인 및 인증서 등과 같은 기술적 정보가 무료로 제공된 데이터베이스 및 저장소를 검색하는 행위
- DNS/Passive DNS
공격자는 대상의 DNS 데이터를 검색하여 공격 계획에 활용할 수 있다. DNS 정보에는 등록된 네임 서버 및 대상 하위 도메인, 메일 서버 및 기타 호스트의 주소 지정 등 다양한 세부 정보가 포함될 수 있다.
공격자는 직접 대상 조직의 이름 서버를 쿼리하거나 패시브 DNS(로그가 저장된 중앙 집중식 DNS 쿼리 응답)의 중앙 저장소를 검색할 수 있다. 또한 내부 네트워크 정보를 노출시키는 DNS 구성 오류/유출을 찾아 대상으로 삼을 수도 있다. - WHOIS
공격자는 대상과 관련된 정보를 수집하기 위해 WHOIS 데이터를 검색할 수 있다. WHOIS 데이터는 도메인 이름과 같은 인터넷 자원 할당과 할당을 담당하는 지역 인터넷 등록 기관(RIR)에서 저장된다.
누구나 WHOIS 서버를 쿼리하여 등록된 도메인에 대한 정보 (할당된 IP 블록, 연락처 정보 및 DNS 네임 서버 등)를 얻을 수 있다. 위협 요소는 잠재적 피해자에 대한 정보를 얻기 위해 온라인 리소스나 명령 줄 유틸리티를 사용하여 WHOIS 데이터를 탈취할 수 있다. - Digital Certificates
공격자는 대상에 대한 정보를 수집하기 위해 공개적인 디지털 인증서 데이터를 검색할 수 있다. 디지털 인증서는 서명된 콘텐츠의 출처를 암호화적으로 확인하기 위해 인증 기관(CA)에서 발급된다. 예를 들어, HTTPS SSL/TLS 통신에 사용되는 디지털 인증서에는 이름 및 위치와 같은 등록된 조직 정보가 포함된다.
공격자는 디지털 인증서 데이터를 수집하기 위해 온라인 리소스 및 조회 도구를 사용할 수 있다. 또한, 조직에서 서명된 아티팩트(예: 암호화된 웹 트래픽에 사용되는 인증서)에서 디지털 인증서 데이터를 얻을 수 있다. - CDNs
공격자는 대상에 대한 콘텐츠 전달 네트워크(CDN) 데이터를 수집하여 공격 계획에 활용할 수 있다. CDN은 분산되고 로드 밸런싱된 서버 배열에서 콘텐츠를 호스팅하는 것을 가능하게 한다. CDN은 요청자의 지리적 위치에 따라 콘텐츠 전달을 사용자 정의하는 것도 가능하다.
위협 행위자는 온라인 리소스 및 조회 도구를 사용하여 CDN 내부의 콘텐츠 서버에 대한 정보를 수집할 수 있다. 공격자는 CDN 구성 오류를 찾아서 민감한 정보가 노출되거나, 기업 웹사이트에 호스팅된 콘텐츠와 같은 보호 메커니즘이 없는 정보가 노출될 가능성이 있는 것을 찾을 수도 있다. - Scan Databases
공격자는 대상과 관련된 정보를 얻기 위해 공개된 스캔 데이터베이스를 검색할 수 있다. 다양한 온라인 서비스에서는 지속적으로 인터넷 스캔 및 조사 결과를 게시한다.
이 데이터는 활성 IP 주소, 호스트 이름, 개방된 포트, 인증서 및 서버 배너와 같은 정보를 수집할 수 있다. 공격자는 온라인 리소스와 조회 도구를 사용하여 이러한 서비스에서 정보를 수집할 수 있다.
Search Open Website/Domains (공개된 웹사이트/도메인 수집)
대상 조직과 관련된 웹사이트 및 도메인에 대한 정보를 수집하는 행위
- Social Media
공격자는 대상 조직에 대한 정보를 수집하기 위해 소셜 미디어를 탐색할 수 있다. 소셜 미디어는 업무 공지와 같은 조직 정보, 그리고 직원들의 역할, 위치, 관심사 등과 같은 다양한 정보를 포함하고 있을 수 있다.
공격자는 수집하려는 정보에 따라 다른 소셜 미디어 사이트를 사용할 수 있으며, 이 정보를 수집하여 가짜 프로필/그룹을 만들어 피싱 공격을 시도하기도 한다. - Search Engines
공격자는 타겟팅을 위해 희생자들에 대한 정보를 수집하기 위해 검색 엔진을 사용할 수 있다. 검색 엔진 서비스는 일반적으로 온라인 사이트를 크롤링하여 콘텐츠를 인덱싱하며, 사용자가 특정 키워드나 파일 유형과 같은 특정 유형의 콘텐츠를 검색할 수 있는 특수 구문을 제공할 수 있다.
위협 행위자는 일반적인 정보를 수집하기 위해 검색 엔진을 사용할 뿐 아니라, 네트워크 세부 정보나 자격 증명과 같은 민감한 정보의 유출/누출을 찾기 위해 전문 쿼리를 사용할 수도 있다. - Code Repositories
공격자는 피해자에 대한 정보를 찾기 위해 공개 코드 저장소를 검색할 수 있다. 피해자는 보통 GitHub, GitLab, SourceForge, BitBucket과 같은 다양한 타사 웹사이트에 코드 저장소를 보관한다.
사용자들은 웹 애플리케이션 또는 git과 같은 명령행 도구를 통해 코드 저장소와 상호작용한다. 공개 코드 저장소는 피해자에 대한 일반적인 정보 (예: 흔히 사용하는 프로그래밍 언어 및 라이브러리, 직원 이름 등)를 제공할 수 있으며, 실수로 누출된 자격증명이나 API 키와 같이 민감한 데이터를 식별할 수도 있다.
참고: 이는 비공개 및 내부 호스팅 코드 저장소 수집에 초점을 둔 Code Repositories와 구별됩니다.
Search Victim-Owned Websites (피해자 웹사이트 수집)
피해자가 소유한 웹사이트에서 정보를 수집하는 행위 공격자는 대상 기업이 소유한 웹사이트에서 정보를 수집하여 공격 목표로 사용할 수 있다. 대상 기업이 소유한 웹사이트는 부서/분할의 이름, 물리적 위치, 이름, 역할, 연락처 정보(예: 이메일 주소) 등 다양한 세부 정보와 업무 운영 및 관련성을 강조하는 세부 정보를 포함할 수 있다.
'기술보안 > 기타' 카테고리의 다른 글
| [Active Directory] 1장. AD의 개념과 특징 (0) | 2023.07.25 |
|---|---|
| Android Studio 설치법! (0) | 2023.05.31 |
| Tomcat SSL 인증서 설치 후 오류발생 시 확인사항 (0) | 2023.01.31 |
| 아크로니스 백업솔루션 도입 과정 (0) | 2022.11.30 |
| Project Discovery 소개 - Subfinder (0) | 2022.10.23 |