Blog

Mandiant Advantage Threat Intelligence에 추가된 'Threat Campaign' 기능으로 최신 공격 활동에 대한 가시성을 신속히 확보!

Nalani Fraser
Oct 12, 2022
5 min read
|   Last updated: Apr 05, 2023
Threat Intelligence

공격자는 작전을 수행할 때 종종 전술과 기술을 바꾸거나, 새로운 기능을 갖춘 도구를 사용하거나, 새로운 인프라를 이용합니다. 보안 팀이 공격자의 기술과 기법이 진화한다는 것을 염두에 두고 그때그때 적절한 조치를 취하는 것은 쉽지 않은 일입니다. 이런 현실적 어려움을 해결하는 데 도움이 되고자 맨디언트는 Mandiant Advantage Threat Intelligence에 'Threat Campaign' 기능을 추가하였습니다. 이 기능으로 보안 전문가는 조직이 속한 산업 및 지역에 영향을 미치는 현재 진행 중인 캠페인 관련 최신 정보를 빠르게 받아볼 수 있습니다.

Threat Campaign 기능은 현재 우리 회사의 규모와 업종이 유사한 조직에 영향을 끼치는 위협 행위자, 악용 및 기타 위협을 식별하고 조치 우선순위를 정하는 데 도움을 줍니다. 이 기능을 통해 이벤트 관련 정보를 시각화를 통해 직관적으로 파악할 수 있고, 공격 기술 등 세부 정보도 확인할 수 있습니다. 그리고 검증을 거친 컨텐츠를 통해 보안 팀은 공격 수명 주기 동안 관찰된 활동을 알기 쉽기 볼 수 있습니다. 또한, 세부 정보를 통해 보안 팀은 현재 진행 중인 활성 위협 캠페인의 특정 위협을 빠르게 찾을 수 있습니다.

개별 및 글로벌 캠페인

Threat Campaign 기능 추가는 Mandiant Advantage Threat Intelligence의 미션인 공격자 작업에 대한 더 큰 가시성을 제공하자는 미션을 달성하기 위한 개선의 일환입니다. 이 기능은 개별 위협 캠페인 및 글로벌하게 진행되는 캠페인 모두에 대한 가시성을 제공합니다. 먼저 개별 캠페인의 경우 보안 팀은 위협 행위자의 작전 방식 등의 변경 사항을 빠르게 추적할 수 있습니다. 보안 운영 및 위협 헌팅 팀은 공격자의 기술과 기능 변경을 빠르게 식별할 수 있으므로 탐지 및 완화 관련 대응 속도가 빨라집니다.

글로벌 캠페인의 경우 유사 주제나 공격 목표 그리고 리소스 등 다양한 요소를 고려해 여러 위협 행위자를 다룹니다. 이를 통해 여러 위협 행위자가 취약점을 악용해 펼치는 대규모 이벤트에 대한 통찰력을 제공합니다. 보안 운영 팀의 경우 글로벌 캠페인 관련 정보를 참조해 패치 릴리즈 및 적용 전에 알려진 취약점 악용 활동을 식별할 수 있습니다. 또한, 위협 행위자 활동 동향을 더 잘 이해할 수 있어 보안 우선순위를 수월하게 결정할 수 있고, 의사결정자에게 더 나은 정보를 제공할 수 있습니다.

Threat Campaign의 장점

Threat Campaign 기능의 장점은 크게 세 가지로 구분할 수 있습니다.

  • 공격자 타임라인에 대한 심층 보기: 공격 기술을 맨디언트 분석가가 처음 관찰한 날짜와 마지막으로 확인한 날짜를 제공합니다. 더불어 맨디언트 분석가가 캠페인 활동 이해에 도움이 되는 주요 이벤트도 제공합니다. 여기에는 중요 시스템 악용, 악성 코드 컴파일 시간, 관찰된 피싱 이메일 등의 이벤트가 포함됩니다. 맨디언트 분석가는 새로운 캠페인 이벤트를 발견하면 해당 내용을 업데이트합니다. 소개한 정보 덕분에 보안 운영 팀은 초기 감염 벡터부터 공격 후반 단계까지 어떤 이벤트들이 일어났는지 순서대로 파악하고 필요에 따라 상세 내용을 확인할 수 있습니다.
  • 공격자 기법 이해: 타임라인의 주요 이벤트에는 공격 활동의 맥락을 파악하는 데 도움이 되는 추가 정보가 담겨 있습니다. 맨디언트 분석가는 관련 내용을 파악한 다음 설명을 추가하여 해당 이벤트에 대한 설명을 달아 놓습니다. 또한, 이벤트에 맬웨어 제품군, 도구, 또는 CVE 악용이 포함될 경우 해당 내용도 제공됩니다. 이 밖에도 가능한 경우 호스트 명령 또는 삭제된 이벤트 로그 데이터같이 캠페인에서 발생한 공격자 활동의 실제 예도 제공됩니다. 이 추가 컨텍스트를 통해 보안 팀은 실행 가능한 정보를 확인할 수 있고, 캠페인 전반에 걸쳐 공격자가 실행한 방식에 대한 더 나은 가시성을 확보할 수 있습니다.
  • 더 많은 컨텍스트로 우선순위 지정: 보안 팀은 동종 업계나 같은 지역을 대상으로 하는 위협을 신속히 식별할 수 있습니다. 자세히 봐야 할 부분이 있으면 상세 타임라인을 확인하여 대응에 필요한 정보를 얻을 수 있습니다. 또한, 이 정보로 위협 헌팅의 범위를 좁힐 수 있습니다.

Threat Campaign 기능 둘러보기

주요 화면을 통해 Threat Campaign의 세부 탭을 알아보겠습니다.

  • 캠페인 대시보드: 다음 그림처럼 대시보드를 통해 지정된 기간에 속하는 모든 캠페인 관련 내용을 확인할 수 있습니다.

Campaign Dashboard

  • Campaign Detail 탭: 새로운 이벤트가 관찰되면 상위 수준 타임라인에 최신 정보가 추가됩니다. 관련해 최근 이벤트, 새로운 타깃 산업 및 지역, 새로운 맬웨어와 도구, 새로 악용된 취약점 등의 세부 정보가 업데이트됩니다. 예를 들어 설명해 보겠습니다. 2022년 3월 맨디언트는 미국 주 정부를 대상으로 하는 APT41 캠페인 활동을 분석한 블로그 포스팅을 게재하였습니다. 이 캠페인에 대한 세부 정보는 이제 Mandiant Threat Intelligence의 'Threat Campaign' 섹션에서 다음 그림과 같이 확인할 수 있습니다. 맨디언트가 새로운 활동을 식별하면 대시보드와 API에 자동으로 반영됩니다. 이에 따라 보안 팀은 신속하게 업데이트된 내용을 확인할 수 있습니다.

Campaign Details

  • Campaign Timeline 탭: 특정 캠페인에 대한 상세한 수준의 개요 내용 외에도 'Timeline' 탭을 통해 관찰된 공격자 기술과 맨디언트 분석가가 식별한 '핵심 이벤트'에 대한 세부 정보 및 중요 공격자의 활동 순서를 확인할 수 있습니다. 타임라인은 사용자가 관찰된 활동을 쉽게 식별할 수 있도록 이벤트 유형별로 분류됩니다. 예를 들어 보겠습니다. APT41의 예에서 맨디언트 분석가가 신고한 첫 번째 주요 이벤트는 2020년 6월에 디렉토리 탐색 취약점을 악용한 것이었습니다. Mandiant Advantage Threat Intelligence를 이용하는 조직의 담당자는 다음 그림과 같이 각 이벤트를 클릭해 악용 후 공격자 활동을 볼 수 있었습니다.

Detailed Visual Timeline

  • Mandiant Techniques 탭: 여기서 확인할 수 있는 내용은 맨디언트가 공격자의 방법론을 분류하는 기준을 적용해 주요 위협을 연구한 결과에 대한 것입니다. 위 그림의 타임라인을 보시죠. 첫 번째 줄은 맨디언트의 기법을 적용하여 처음으로 공격자를 직접 관찰한 날짜를 보여줍니다. 이 탭을 통해 Mandiant Advantage Threat Intelligence를 이용하는 조직의 담당자는 MITRE ATT&CK와 연계할 수 없는 맨디언트의 통찰력이 담긴 컨텍스트를 제공받을 수 있습니다. 예를 들어 보죠. 이 탭의 내용을 참조하면 '대중을 대상으로 하는 애플리케이션 악용'에 대한 일반적인 설명이 아니라 다음 그림처럼 캠페인 중에 관찰된 악용 유형까지 파악할 수 있습니다. 이를 참조하면 조직이 경계해야 하는 취약점이나 애플리케이션 유형으로 탐지와 대응의 범위를 좁힐 수 있습니다.

Example Mandiant Technique

  • Key Event Detail 탭: 타임라인에 기록된 각각의 기술과 주요 이벤트의 세부 정보는 다음 그림과 같이 제공됩니다. 여기에는 분석가의 설명 그리고 가능한 경우 공격자가 실행한 실제 명령 또는 이벤트 로그가 포함됩니다. 또한, 가능한 맨디언트 및 MITRE ATT&CK 기술로 주석을 달아 보안 분석가에게 실행 가능한 세부 정보를 제공합니다. 다음 그림을 보시죠. 'Directory Traversal' 이벤트 관련 분석가 설명, 주석, 자격 증명을 얻기 위해 공격자가 'web.config' 파일에 대한 데이터 마이닝을 보여주는 삭제된 웹 로그 항목에 대한 상세 설명을 보여줍니다.

Directory Traversal Key Event

결론

Mandiant Advantage Threat Intelligence의 Threat Campaign 기능은 활성 위협과 이에 관한 가시성을 제공합니다. 이를 통해 보안 전문가는 중요한 위협을 식별하고 우선순위를 정해 집중할 수 있습니다. 또한 이 과정에서 실행 가능한 인텔리전스를 확인하여 대응 효율도 높일 수 있습니다. 이에 따라 보안 전문가는 확신을 갖고 위협을 예측, 식별, 대응할 수 있어 과도한 업무로 인한 스트레스를 줄일 수 있습니다.