earticle

영어

Recently, many security solutions use machine learning technology. In the endpoint field, EDR (Endpoint Detection and Response) solutions are applying machine learning-based technology. In addition, recently emerged XDR(eXtended Detection and Response) uses machine learning to analyze information in the network area and endpoint area. These solutions extract the features of malicious procedures and perform machine learning-based analysis, which is based on the MITER ATT&CK framework. However, in order to implement the Techniques specified in the MITER ATT&CK framework as a malicious procedure, there is a difficulty in analyzing and implementing the exploit code and tools. In addition, since there are many things that do not work in the real environment, more resources must be put into the task of refining the learning data, such as verifying whether it works and extracting features. Therefore, in this paper, we analyzed the exploit codes and tools used by major hacking groups, implemented a total of 67 malicious procedures, and confirmed that 46 malicious procedures were operating. Through this, it contributed to minimizing the cost required in the process of extracting and refining TTPs-based machine learning learning data in the endpoint environment.

한국어

최근 머신러닝 기술을 적용한 다양한 보안 솔루션들이 등장하고 있다. 엔드포인트 분야에서는 EDR(Endpoint Detection and Response) 솔루션들이 머신러닝 기반 기술을 적용하고 있으며, 최근 보안 업계에서 화두가 되고 있는 XDR(eXtended Detection and Response)은 네트워크 영역과 엔드포인트 영역의 정보를 연계 분석하는 방법으로 머신러닝을 활용하고 있다. 이러한 솔루션들은 악성 Procedure의 특징을 추출하여 머신러닝 기반의 분석 을 진행하고 있으며, 이는 MITRE ATT&CK 프레임워크에 기반을 두고 있다. 그러나, MITRE ATT&CK 프레임 워크에 명시된 Techniques를 악성 Procedure로 구현하기 위해서는 익스플로잇 코드와 도구를 분석하고 구현해야 하는 어려움이 존재한다. 또한, 실제 환경에서 동작하지 않는 것들도 상당수 존재하고 있기 때문에, 동작 여부를 검 증하고 특징을 추출하는 등 학습 데이터를 정제하는 작업에 더 많은 리소스를 투입해야 하는 상황이다. 이에, 본 논 문에서는 주요 해킹 그룹에서 사용하는 익스플로잇 코드와 도구들을 분석하고 총 67개의 Techniques에 대한 악성 Procedure를 구현하였으며, 이 중 46개의 악성 Procedure가 동작하는 것을 확인하였다. 엔드포인트 환경에서의 악성 Procedure 구현 및 검증을 통해, TTPs 기반 머신러닝 학습 데이터 추출과 정제 과정에서 소요되는 비용을 최소화하는데 기여하였다.