Wazuh의 MITRE ATT&CK 분석

Wazuh의 MITRE ATT&CK 모듈에 대한 분석 기술에 대해 정리했다.

 

- Wazuh의 MITRE ATT&CK 기능 이해

- 레지스트리 키를 이용하여 지속성 유지 스크립트를 실행하여 TTPs 매핑

테스트 구성도

 

 

MITRE ATT&CK 개요

MITRE ATT&CK 은 실제 사이버 공격자들이 사용하는 전술, 기법, 절차들을 체계적으로 정리해놓은 데이터베이스다. 이 프레임워크는 방어자에게 공격자의 행위를 이해하고 대응 전략을 수립하는데 매우 유용한 기준이 된다. Wazuh는 이런 MITRE ATT&CK을 탐지 시스템에 통합하여 발생한 보안 이벤트들이 어떤 전술과 기법에 해당하는지 자동으로 분류하고, 시각화할 수 있도록 구성되어있다. 

 

Wazuh MITRE ATT&CK

Dashboard

 

Wazuh 대시보드에서 Treat Intelligence > MITRE ATT&CK 에서 해당 대시보드를 확인할 수 있다.

여기서는 시간별, 호스트별, 전술별로 시각화하여 전체 보안 상태를 보다 직관적으로 확인할 수 있다.

 

Intelligence

외부 위협 Intelligence 정보와 Wazuh의 탐지 이벤트를 연계하여 어떤 위협 그룹이 해당 기법을 주로 사용하는지, 어떤 위협 공격에 노출 되어있는지에 대한 상관관계를 파악할 수 있다.

Group : 다양한 공격자들에 대한 정보 (어떤 전술과 공격도구들을 쓰는지, 어떤 사례에 발견됐는지)

Mitigations : 각 기법에 사전에 차단하거나 대응하기 위한 완화책을 제시. 

Software : 공격자들이 쓰는 툴과 악성코드들의 정보

Tactics : 공격자들이 쓰는 전술들과 각 전술들에 어떤 기법들이 사용되는지의 정보 

Techniques : 공격자들이 쓰는 공격 기법들이다. 관련된 이벤트 수와 탐지 사례도 확인 가능하다.

 

Frameworks

 

이 탭에서는 탐지된 기법과 전술들을 MITRE ATT&CK 구조에 따라 표 형식으로 구분할 수 있으며, 각 기법에 대한 설명과 탐지된 이벤트 수를 한 눈에 파악하기 쉽다.

 

Events

 

개별 탐지 이벤트들을 리스트 형태로 확인할 수 있으며, 각각 어떤 MITRE 기법에 해당되는지, 관련 호스트는 무엇인지 등의 상세한 정보를 분석 할 수 있다.

 

레지스트리 키 수정 탐지 테스트

 

 

해당 명령어로 bat 파일을 만든다.

이는 레지스트리키에 값을 추가하는 명령어로, Run 키에 값을 넣는 것이다. 

해당 경로는 사용자가 로그온 시 실행되는 프로그램을 지정하는 레지스트리 위치로 MyCalculator 라는 값의 이름으로 계산기 프로그램을 넣는 명령어다.

해당 배치파일이 실행되면 Run 레지스트리 키에 계산기 프로그램이 등록되어 이후 컴퓨터 재부팅 후에 계산기 프로그램이 자동으로 실행될 것이다. 

 

 

"HKCU\Software\Microsoft\Windows\CurrentVersion\Run"

이 레지스트리 키 경로는 공격자가 외부에서 내부 PC로 접근을 성공하면 이후 권한 상승이나 장기적인 접근 유지를 위해 해당 PC에 Persistence 기법을 적용하기 위해 자주 사용되는 경로다.

실제 공격자는 계산기 exe 위치에 리버스 쉘이나 키로그 같은 악성 바이너리를 등록하여 PC가 재부팅되더라도 항상 실행되게끔 제어할 수 있다. 

 

이 배치 파일을 실행해보고 Wazuh MITRE 대시보드에서 확인해보자.

 

 

T1027, T1112, T1547.001 등의 MITRE id로 탐지된 것을 확인할 수 있다.

 

두 번째 행의 로그를 좌측 자세히보기 버튼을 클릭해서 보면.

 

data.win.eventdata.commandLine에 배치파일로 실행됐던 명령를 확인 할 수 있다.

 

내려보면 이 탐지는 rule.id 92041 에 의해 탐지된 것을 알 수 있다.

 

T1027은 탐지회피 전술에 속하는 Obfuscated Files or Information 기법이다. 공격자가 악성코드 혹은 명령어를 은닉하거나, 알아보기 어렵게 만들어 보안 솔루션의 탐지를 피하려는 시도를 의미한다. 

T1112는 Defense evasion, Persistence 전술에 속하는 Modify Registry 기법이다. 이는 공격자가 윈도우 레지스트리를 변경하여 시스템 동작을 조작하거나 악성행위가 지속적으로 실행되도록 설정하는 방식이다. 

 

이제 T1547.001 탐지 로그를 봐보자.

 

이는 reg.exe가 해당 경로에 MyCalculator를 등록하는 이벤트가 탐지된 것이다.

Persistence, Privilege Escalation 전술의 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder 기법에 해당한다.

공격자가 시스템에 접근한 이후 다음 시스템 부팅 또는 사용자 로그온 시 자동으로 악성코드를 실행시키기 위해 레지스트리 Run 키 또는 시작프로그램 폴더를 조작하는 행위를 탐지한다.

대표적으로 이 Run 키에 등록하거나 AppData 의 startup 폴더에 주로 등록하기 때문에 해당 경로에 계산기를 등록한 행위가 잡힌 것이다. 

 

따라서 지금까지의 악성행위를 장황하게 설명하는 것이아니라 MITRE ATT&CK 코드로 간결하게 설명할 수 있다.

 

T1112라는 Modify Registry 기법을 통해 T1547.001 Resgistry Run key startup Folder 기법을 수행을 한 사례라고 요약하면 간결하고 효과적으로 설명될 수 있다. 

 

이처럼 Wazuh를 통해 단순한 이벤트 발생 여부가 아니라 이벤트가 어떤 기술과 전술에 해당하는지, 그리고 어떤 공격 단계에 위치하는지 까지 파악할 수 있다. 따라서 Wazuh는 MITRE ATT&CK과 연계하여 보안위협을 보다 체계적으로 이해하고, 빠르고 정확한 대응을 가능하게 만들어주는 강력한 분석도구다.

 

 

요약

- Wazuh에서 제공하는 MITRE ATT&CK 모듈은 DashBoard, Intelligence, Framework, Events 메뉴를 제공.

- Intelligence 탭은 공격 흐릅, 완화 기법, 도구, 전술과 기법 등 다양한 정보를 제공

- 배치 파일을 이용해 레지스트리 키에 등록하는 지속성을 테스트한 후 해당 행위가 어떤 Tactic과 Technique에 속하는지 확인 가능