개요
MITRE ID: T1562 | 전술: Defense Evasion | 플랫폼: Windows, macOS, Linux, Network, Containers, IaaS
Impair Defenses 는 공격자가 시스템의 보안 방어 메커니즘을 무력화하거나 손상시키는 기법입니다. 이는 안티바이러스, 방화벽 같은 예방 도구뿐만 아니라, 로그 기록이나 모니터링 시스템 같은 탐지 기능까지 포함합니다. 공격자는 이를 통해 자신들의 악의적 활동을 숨기고 지속적인 접근을 유지할 수 있습니다.
💡 쉬운 비유: 도둑이 집에 침입하기 전 CCTV를 끄고 경보기를 해제하는 것과 같습니다. 보안 시스템이 작동하지 않으면 침입을 감지하거나 막을 수 없게 됩니다.
하위 기법 (Sub-techniques)
이 기법에는 다음과 같은 세부 기법들이 있습니다:
| ID | 이름 |
|---|---|
| T1562.001 | Disable or Modify Tools |
| T1562.002 | Disable Windows Event Logging |
| T1562.003 | Impair Command History Logging |
| T1562.004 | Disable or Modify System Firewall |
| T1562.006 | Indicator Blocking |
| T1562.007 | Disable or Modify Cloud Firewall |
| T1562.008 | Disable or Modify Cloud Logs |
| T1562.009 | Safe Mode Boot |
| T1562.010 | Downgrade Attack |
| T1562.011 | Spoof Security Alerting |
| T1562.012 | Disable or Modify Linux Audit System |
| T1562.013 | Disable or Modify Network Device Firewall |
각 하위 기법의 상세 분석 은 개별 글에서 다룹니다.
대표 사례
📌 BlackByte 랜섬웨어 - EDR 우회
BlackByte 랜섬웨어 그룹은 엔드포인트 탐지 및 대응(EDR) 제품을 우회하기 위해 Kernel Notify Routines를 제거하는 기법을 사용했습니다. 이를 통해 시스템 수준에서 보안 모니터링 기능을 무력화시켰습니다.
📌 BOLDMOVE 악성코드 - 로그 조작
중국 연관 공격 그룹이 사용한 BOLDMOVE 악성코드는 피해자 시스템의 Fortinet 독점 로그를 수정하여 공격 흔적을 숨기는 기능을 포함하고 있었습니다. 이는 네트워크 보안 장비의 로깅 시스템을 직접 조작한 사례입니다.
출처: Google Cloud - Chinese Actors Exploit FortiOS Flaw
참고 자료
📌 이 글은 AI(Claude) 를 활용하여 작성되었으며, MITRE ATT&CK v18.0 기준 (2025-10-28) 을 기준으로 합니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
愿???쒕툕 湲곕쾿
| 湲곕쾿 ID | 湲곕쾿紐? | ?ㅻ챸 |
|---|---|---|
| T1562.001 | 蹂댁븞 ?꾧뎄 鍮꾪솢?깊솕 | EDR/AV 臾대젰?? |
| T1562.002 | Windows ?대깽??濡쒓퉭 鍮꾪솢?깊솕 | 濡쒓렇 湲곕줉 李⑤떒 |
| T1562.003 | 紐낅졊 ?덉뒪?좊━ 李⑤떒 | 紐낅졊??湲곕줉 ??젣 |
| T1562.004 | 諛⑺솕踰?鍮꾪솢?깊솕 | ?ㅽ듃?뚰겕 諛⑹뼱 ?고쉶 |
| T1562.006 | IoC 李⑤떒 | 移⑦빐吏???④? |
| T1562.007 | ?대씪?곕뱶 諛⑺솕踰?鍮꾪솢?깊솕 | ?대씪?곕뱶 蹂댁븞 ?고쉶 |
| T1562.008 | ?대씪?곕뱶 濡쒓렇 鍮꾪솢?깊솕 | ?대씪?곕뱶 濡쒓퉭 李⑤떒 |
| T1562.009 | ?덉쟾 紐⑤뱶 遺?? | Safe Mode濡?EDR ?고쉶 |
| T1562.010 | ?ㅼ슫洹몃젅?대뱶 怨듦꺽 | 蹂댁븞 湲곕뒫 踰꾩쟾 ??땄 |
| T1562.011 | 蹂댁븞 寃쎄퀬 ?ㅽ뫖?? | 媛吏?寃쎄퀬濡??꾩옣 |
| T1562.012 | Linux auditd 鍮꾪솢?깊솕 | Linux 媛먯궗 濡쒓렇 李⑤떒 |
| T1562.013 | ?ㅽ듃?뚰겕 ?λ퉬 諛⑺솕踰? | ACL/諛⑺솕踰?洹쒖튃 ?고쉶 |
?뱰 MITRE ATT&CK??泥섏쓬?댁떊媛?? MITRE ATT&CK ?꾨젅?꾩썙???꾨꼍 媛?대뱶?먯꽌 湲곕낯 媛쒕뀗??癒쇱? ?뺤씤?섏꽭??
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.