[논문]Automated Cyber Threat Emulation Based on ATT&CK for Cyber Security Training

Kim, Donghwa; Kim, Yonghyun; Ahn, Myung-Kil; Lee, Heejo

doi:10.9708/jksci.2020.25.09.071

[국내논문] Automated Cyber Threat Emulation Based on ATT&CK for Cyber Security Training 원문보기

韓國컴퓨터情報學會論文誌 = Journal of the Korea Society of Computer and Information, v.25 no.9, 2020년, pp.71 - 80

Kim, Donghwa (Dept. of Computer and Radio Communications Engineering, Korea University) , Kim, Yonghyun (The 2nd R&D Institute, Agency for Defense Development) , Ahn, Myung-Kil (School of Electrical and Electronics Engineering, Chung-Ang University) , Lee, Heejo (Dept. of Computer Science and Engineering, Korea University)

초록
AI-Helper

사회가 초연결 사회가 되어 갈수록 우리는 더 많은 사이버 보안 전문가들이 필요하다. 이를 위해 본 논문에서는 실제 사이버 공격에 대한 분석결과와 MITRE ATT&CK 프레임워크를 바탕으로 사이버 모의 위협을 모델링하고 실제 사이버 보안 훈련 시스템에서 모의 된 사이버 위협을 생성할 수 있는 CyTEA를 개발하였다. 모의 된 사이버 위협이 실제 사이버 위협 수준의 유효성을 갖는지를 확인하기 위해 절차적, 환경적, 결과적 유사성을 기준으로 모의 수준을 알아보고 또 실제 사이버 보안 훈련 시스템에서 모의 위협을 실행하면서 방어훈련 시 예상되는 위협의 실제 위협실행 결과와 모의 위협의 실행 결과가 동일하여 실제 사이버 위협에 준하는 훈련을 가능함을 확인하였다.

Abstract ▼ AI-Helper

As societies become hyperconnected, we need more cyber security experts. To this end, in this paper, based on the analysis results of the real world cyber attacks and the MITRE ATT&CK framework, we developed CyTEA that can model cyber threats and generate simulated cyber threats in a cyber security training system. In order to confirm whether the simulated cyber threat has the effectiveness of the actual cyber threat level, the simulation level was examined based on procedural, environmental, and consequential similarities. in addition, it was confirmed that the actual defense training using cyber simulation threats is the same as the expected defense training when using real cyber threats in the cyber security training system.

Keyword

표/그림 (8)

그림 Fig. 1. CyTEA Overview
그림 Fig. 2. Cyber attack and defense procedures of Operation Dust Storm
그림 Fig. 3. Operation Dust Storm modeling result and attack scenario
그림 Fig. 4. Unit threat sequence of Operation Dust Storm
그림 Fig. 5. cyber training environment emulation result
그림 Fig. 6. Threat detection messages of Operation Dust Storm on UTM during emulation
그림 Fig. 7. Treat emulation result for Operation Dust Storm
그림 Fig. 8. Results of defense training

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

CyTEA를 이용하여 사이버 위협을 모의하는 과정에서 모의된 위협과 실제 사이버 위협 간 유사함의 수준과 유효성을 판단하고 개선 방향을 도출하기 위해 본 논문에서는 절차적 유사성과 환경적 유사성, 결과적 유사성의 3가지 정성적 지표를 제시한다. 본 장에서는 사이버 위협을 3가지 지표에 맞춰 모델링 하고 위협 발생을 위한 시나리오를 저작하는 방안에 대해 실제 APT(Advanced Persistence Threat) 형태의 사이버 공격 사례 중 하나인 Operation Dust Storm의 예를 사용하여 제시하였다.
CyTEA를 이용하여 모델링한 사이버 모의 위협의 모의 수준과 사이버 방어훈련에서 실제 사이버 위협만큼 유효한지를 확인하기 위해 실제 있었던 APT 공격 중 하나인 Operation Dust Storm 공격에 대해 모델링과 공격 시나리오를 저작하였다. 또 이를 실제 사이버 방어 훈련과 연동하여 훈련자의 방어행위에 따라 기대되는 위협의 차단 효과가 나타나는지는 실험하였다.
본 논문은 방어 기술에 대한 사이버 보안 기술 훈련을 위해 기존의 수많은 사이버 공격을 기반으로 사이버 위협을 모의할 수 있는 도구와 이를 실제 훈련환경에서 실행할 수 있는 도구를 개발하였고 또 이를 실제 사이버 위협의 모의 수준을 가늠하기 위해 절차적, 환경적, 결과적 부분에서 비교하는 평가방안을 제시하였다. 특히 사이버 보안 기술 훈련에 맞게 결과적 부분은 사이버 공격자 관점에서의 결과와 사이버 방어자 관점의 결과를 나누어 비교·분석하는 것을 제안하였다.

제안 방법

이를 위해 본 논문에서는 MITRE의 ATT&CK 프레임워크에서 정의한 전략(Tactic)과 기술(Technique)을 단위위협으로 이용하여 단위위협의 조합을 통해 사이버 위협을 모델링 하고 이를 사이버 보안 훈련 시스템에 자동화 위협으로 생성할 수 있는 사이버 위협 모의 도구인 CyTEA(Cyber Threat Emulation and Automation)를 개발하였다.
전술과 기술은 대상 시스템과 단계에 따라 PRE-ATT&CK, Enterprise, Mobile 3가지로 나눠 구축하였으며, 본 논문에서는 Enterprise에서 사용되는 전술과 기술을 이용하였다.
Caldera는 사용자가 설정한 타겟 호스트를 공격하기 위해 경로와 공격 기술 등을 자동으로 선택하여 공격을 진행한다. 자율적 공격을 위해 공격행위와 그에 대한 보상을 기반으로 공격계획을 수립한다. 그 과정에서 사용자가 자체 확보한 RAT(Remote Administrative Tool)을 사용할 수 있는 기능도 제공한다.
본 논문에 제안하는 CyTEA는 기존 사이버 위협 모의 도구와 달리 단위 공격의 성공/실패의 결과에 따라 실행흐름을 변경할 수 있어 단위위협을 이용하여 로직을 생성할 수 있으며, 위협 프로파일 단위로 위협행위를 모듈화할 수 있어 악성코드 단위 같은 기능 단위로 위협을 생성할 수 있다. 또한, 모의하고자 하는 사이버 위협의 복잡도에 따라 여러 개의 위협 프로파일 간 연동을 통해 점점 복잡해지는 사이버 위협을 보다 실제에 가깝게 모의할 수 있도록 하였다.
본 논문에 제안하는 CyTEA는 기존 사이버 위협 모의 도구와 달리 단위 공격의 성공/실패의 결과에 따라 실행흐름을 변경할 수 있어 단위위협을 이용하여 로직을 생성할 수 있으며, 위협 프로파일 단위로 위협행위를 모듈화할 수 있어 악성코드 단위 같은 기능 단위로 위협을 생성할 수 있다. 또한, 모의하고자 하는 사이버 위협의 복잡도에 따라 여러 개의 위협 프로파일 간 연동을 통해 점점 복잡해지는 사이버 위협을 보다 실제에 가깝게 모의할 수 있도록 하였다. 기존 사이버 보안 기술 훈련 시스템의 한계였던 시나리오마다 공격을 위한 자재(악성코드, 스크립트 등)를 구축할 필요 없이 한번 단위위협을 위한 코드를 구축하면, 위협 프로파일을 GUI 형태로 저작하여 매번 새로운 공격을 생성할 수 있도록 하였다.
또한, 모의하고자 하는 사이버 위협의 복잡도에 따라 여러 개의 위협 프로파일 간 연동을 통해 점점 복잡해지는 사이버 위협을 보다 실제에 가깝게 모의할 수 있도록 하였다. 기존 사이버 보안 기술 훈련 시스템의 한계였던 시나리오마다 공격을 위한 자재(악성코드, 스크립트 등)를 구축할 필요 없이 한번 단위위협을 위한 코드를 구축하면, 위협 프로파일을 GUI 형태로 저작하여 매번 새로운 공격을 생성할 수 있도록 하였다.
사이버 위협을 모델링하고, 이에 따라 사이버 보안 훈련 시스템에서 실제 위협처럼 모의하기 위해 우리는 3개의 모듈[1][2][3]로 CyTEA를 구성하였다. 첫 번째 모듈은 사이버 위협의 절차를 모델링하고 위협이 진행될 시나리오를 저작하기 위한 사이버 위협 모델링 및 시나리오 저작 도구[2], 두 번째 모듈은 저작된 사이버 위협 시나리오를 이해하고 계획이 맞게 위협행위를 실행하며, 위협행위의 실행 결과에 따라 다음으로 분기되어 실행될 위협행위를 선택하는 사이버 모의 위협실행 도구[1]이다.
단위위협의 설정된 속성 값은 해당 단위위협의 스크립트 실행 시 입력으로 주어진다. 각 단위위협의 설정 및 실행 스크립트는 플러그인 형태로 사용자가 계속 추가할 수 있도록 개발하였다. 모의 위협 실행 도구는 또한 단위위협의 실행 결과를 수집하는 기능이 있어 결과가 성공인지, 실패인지에 따라 프로파일에서 정의된 다음 단위위협이 실행될 수 있도록 하였다.
CyTEA를 이용하여 사이버 위협을 모의하는 과정에서 모의된 위협과 실제 사이버 위협 간 유사함의 수준과 유효성을 판단하고 개선 방향을 도출하기 위해 본 논문에서는 절차적 유사성과 환경적 유사성, 결과적 유사성의 3가지 정성적 지표를 제시한다. 본 장에서는 사이버 위협을 3가지 지표에 맞춰 모델링 하고 위협 발생을 위한 시나리오를 저작하는 방안에 대해 실제 APT(Advanced Persistence Threat) 형태의 사이버 공격 사례 중 하나인 Operation Dust Storm의 예를 사용하여 제시하였다.
Fig 2의 Operation Dust Storm의 타겟 호스트의 외부적 절차뿐 아니라 타겟 호스트 내부적 위협행위까지 분석 결과를 최대한 반영하여 절차적 유사성을 확보할 수 있는 모델링을 수행하였다. 그리고 단위 위협행위 수행결과가 성공이냐 실패이냐에 따라 다음의 위협행위를 달라지도록 하였다.
Operation Dust Storm의 모의 위협이 실행될 수 있는 환경과 이에 대한 사이버 보안 기술의 훈련을 실시할 수 있는 환경을 사이버 훈련 환경 구축 도구[3]를 이용하여 간단히 모의한 결과는 Fig 5과 같다. 보다 현실감을 높이기 위해 필요한 다양한 요소들을 반영할 수 있지만, 사이버 위협 환경 모의 결과에 영향을 미치는 요소로만 구성하였다.
실제 사이버 위협에 대한 방어행위를 수행하는 데 필요한 방어 장비로 Snort 기반 IPS 기능과 iptables 기반의 방화벽 기능을 갖는 UTM 장비를 추가하여 Fig 3에서와 같이 방어훈련자가 보호해야 하는 공격의 타겟 호스트에 대한 침해방지, 침해 후 위협행위를 차단할 수 있는 방어행위를 할 수 있도록 하였으며, 방어 행위에 따라 모의 위협의 결과가 어떻게 달라지는 지를 확인할 수 있도록 하였다.
이를 위해 Snort 또는 iptables를 이용하여 차단할 수 있으며, 본 논문에서는 UTM 장비에 다음의 차단정책 추가를 통해 차단하였다.
메일서버에서 또는 UTM에서 차단정책을 추가하여 방어할 수 있으며 이는 훈련 목적에 따라 달라질 수 있으며, 본 논문에서는 UTM 장비에서 차단정책을 추가하였으며, 추가되는 차단정책은 다음과 같이 설정하였다.
특히 사이버 보안 기술 훈련에 맞게 결과적 부분은 사이버 공격자 관점에서의 결과와 사이버 방어자 관점의 결과를 나누어 비교·분석하는 것을 제안하였다.

이론/모형

사이버 위협 모델링 및 시나리오 저작 도구[2]는 사이버 위협을 모델링하기 위한 최소 행위 단위인 단위위협으로 MITRE의 ATT&CK의 전략(Tactics)과 기술(Technique)을 사용하였다.

성능/효과

이를 위해 본 논문에서는 MITRE의 ATT&CK 프레임워크에서 정의한 전략(Tactic)과 기술(Technique)을 단위위협으로 이용하여 단위위협의 조합을 통해 사이버 위협을 모델링 하고 이를 사이버 보안 훈련 시스템에 자동화 위협으로 생성할 수 있는 사이버 위협 모의 도구인 CyTEA(Cyber Threat Emulation and Automation)를 개발하였다. 또한, 실제 APT 형태의 사이버 위협인 Operation Dust Storm에 대한 사이버 공격 분석 커뮤니티의 분석 결과[7]를 기반으로 모의한 사이버 위협을 이용한 사이버 방어 훈련 결과가 실제 사이버 위협을 방어 시 예상되는 결과와 유사하여 사이버 방어훈련에서 유효함을 확인하였다.
2020년 7월 현재 107개의 Operation Group에 대한 정보를 구축하고 공개하고 있으며[6], 분석되는 커뮤니티에 따라 같은 그룹이 다른 그룹으로 분류될 수 있는 것을 고려하더라도 상당히 많은 사이버 위협에 대한 TTP 분석이 되어 있는 것을 알 수 있다. 여러 커뮤니티에서 분석한 사이버 위협에 대한 TTP 정보와 본 논문에서 모의한 사이버 위협의 TTP를 비교하여 절차적 유사성을 평가할 수 있다.
결과적 유사성은 공격자와 방어자의 관점에서 유사성을 평가할 수 있다. 먼저 공격자 관점의 결과적 유사성은 사이버 공격의 절차에 맞게 수행되면 단계적으로 획득되는 정보나 권한이 실제 사이버 위협과 결과적으로 같아야 하며, 최종적으로는 실제 사이버 위협의 공격 결과와 모의된 위협의 결과가 같아야 모의가 잘 되었다고 평가할 수 있다.
최종적으로 공격 타겟 호스트에 있는 정보를 C&C 통신을 통해 공격자가 탈취한 결과를 C&C 서버 호스트에 제대로 전달한 것을 확인하였다.
특히 사이버 보안 기술 훈련에 맞게 결과적 부분은 사이버 공격자 관점에서의 결과와 사이버 방어자 관점의 결과를 나누어 비교·분석하는 것을 제안하였다. 또한, 실제 발생하였던 APT 형태의 사이버 공격 중 하나인 Operation Dust Storm에 대한 사례분석을 통해 우리가 개발한 사이버 위협 모의 기술이 실제 사이버 방어 기술을 훈련할 때 실제 위협과 유사한 경험을 제공할 수 있으며, 실제 방어행위를 통해 사이버 위협을 차단할 수 있음을 확인하였다.

질의응답

핵심어	질문	논문에서 추출한 답변
	RTA의 특징은 무엇인가?	Red Team Automation(RTA)[9]은 파이썬 스크립트로 구성된 프레임워크로, 중앙에서 컨트롤하는 C&C 서버가 없는 것이 특징이다. RTA는 여러 단계의 공격을 실행하기 위해 여러 스크립트를 조합하여 생성된 스크립트를 이용할 수 있으며, 측면 이동 공격 기술을 제공한다.
	방어훈련자가 공격에 대한 대응을 진행할 수 있는 환경을 제공하는 방식 두가지는?	사이버 보안 기술에 대한 훈련을 위해 사이버 공격이 가능하고, 방어훈련자가 공격에 대한 대응을 진행할 수 있는 환경을 제공하는 방식에는 크게 2가지가 있다. 하나는 구성 모의(constructive simulation) 방식이고, 다른 하나는 실가상 환경 모의(Live-Virtual simulation) 방식이다 [1]. 2가지 방식은 훈련 시나리오의 저작 레벨, 실제 환경의 반영 충실도, 훈련의 제한, 실시간성 등 많은 부분에서 장단점이 있지만, 각각의 필요성에 따라 연구가 지속되고 있다.
	CyRIS의 훈련장 생성 방식은?	CyRIS[14]는 KVM 기반 가상화 기술을 사용하고 있으며, 사전에 설정된 OS 별 호스트, 웹서버, 메일서버의 VM을 구축하고, 사용자가 원하는 훈련환경 정보를 YAML로 작성하고 이를 기반으로 각 VM을 복제하여 사이버 훈련장을 생성하는 방식이다.

참고문헌 (17)

Hong, Suyoun, Kwangsoo Kim, and Taekyu Kim. "The Design and Implementation of Simulated Threat Generator based on MITRE ATT&CK for Cyber Warfare Training." Journal of the Korea Institute of Military Science and Technology Vol. 22, No. 6, pp. 797-805, Nov. 2019
Hyunjin Lee, Youngu Kim, Myung Kil Ahn, "Method for Cyber Attack Scenario Composition using MITRE ATT&CK", Annual Conference of IEIE 2020, Vol 42, pp. 1103-1104, Jeju, Korea, Jun. 2019
D. H Kim, Y. H. Kim, W. S. Cho, D. S. Kim, J. Y. Kim, Y. H. Kim, M. K. Ahn, C. W. Lee, D. H. Lee, "Software Design Description(SDD) for LVT of Cyber warfare Modeling Technology using LVC(CMT)", Agency for Defense Development, 314pages, 2017
Strom, B. E., Applebaum, A., Miller, D. P., Nickels, K. C., Pennington, A. G., & Thomas, C. B. (2018). Mitre att&ck: Design and philosophy. Technical report.
ATT&CK framework, https://attack.mitre.org/
Cyber attack group, https://attack.mitre.org/groups/
Cross, J. "Operation Dust Storm, Feb. 2016
Bruskin S., Zilberman P., Puzis R., Shwarz S., "SoK: A Survey of Open Source Threat Emulators", arxiv preprint arXiv:2003.01518, 2020
Red Team Automation, https://github.com/endgameinc/RTA
Lee, J.Y., Moon, D.S., Kim, I.K., "Technological Trends in Cyber Attack Simulations", Electronics and Telecommunications Trends, 35(1), pp. 34-48, 2020
Andy Applebaum, Doug Miller, Blake Strom, Chris Korban, and Orss Wolf, "Intelligent, Automated Red Team Emulation", In Proceedings of the 32nd Annual Conference on Computer Security Applications, ACSAC '16, pp 363-373, 2016
Atomic Red Team, https://atomicredteam.io/
Ferguson, Bernard, Anne Tall, and Denise Olsen, "National cyber range overview", In 2014 IEEE Military Communications Conference, pp. 123-128, IEEE, 2014
Pham, Cuong, Dat Tang, Ken-ichi Chinen, and Razvan Beuran, "Cyris: A cyber range instantiation system for facilitating security training.", In Proceedings of the Seventh Symposium on Information and Communication Technology, pp. 251-258, 2016
Yoo, J. D., Park, E., Lee, G., Ahn, M. K., Kim, D., Seo, S., & Kim, H. K. "Cyber Attack and Defense Emulation Agents", Applied Sciences, 10(6), 2140, 2020

상세보기
AttackIQ, https://attackiq.com/
Cymulate, https://cymulate.com/

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증