WF-RECON-001 외부 노출 서비스 및 취약 표면 정찰
공개 노출된 웹/API/CI-CD/Ingress 서비스의 배너, URL, 포트, 취약 버전 식별 정황을 분석한다.
T1595
T1595.002
T1592
T1590
T1593
Campaigns
Spacebar 팀은 기업형 피해 시스템을 모델링하고, 각 환경에서 발생 가능한 공격 방식과 침해 흐름을 분석했다. 각 캠페인은 공통 목표와 대상 시스템을 기준으로 공격자의 TTPs를 정리하고, 이를 MITRE ATT&CK Campaign 페이지 형식에 맞춰 구성한 결과물이다.
Campaign List
| ID | Name | Description | Owner |
|---|---|---|---|
| SB-00 | SB-01 Demo | SB-01 2024 PipelineKey를 기준으로 Campaign Page 1, ATT&CK Matrix View, Primary Logs 연결 구조를 검토하기 위한 데모 페이지. | Spacebar Team |
| SB-01 | 2024 PipelineKey | 침해된 개발자 단말에서 Jenkins API Token을 확보한 뒤, Jenkins CLI 파일 읽기 취약점과 배포 credential 노출을 이용해 App 서버와 PostgreSQL DB 서버로 전개된 CI/CD 침해 캠페인. | 임준서 |
| SB-02 | Operation Poisoned Relay | 외부 노출 JBoss 릴레이 서버 침해 후 내부망이 신뢰하는 업데이트 파일을 오염시켜 격리된 Active Directory 서버로 확장되는 공급망 침해 캠페인. | 김정현 |
| SB-03 | Operation MyCompany Dominance | MyCompany 조직의 Windows AD 인프라를 표적으로 삼아, 사회공학적 기법으로 초기 진입 후 Kerberoasting 및 DCSync를 연계하여 도메인 전체 제어권을 탈취한 공격 캠페인. | 신가현 |
| SB-04 | NodeFall | K8s 환경의 React 19 파드 취약점을 통해 침투한 후, 워커 노드의 공유 커널을 타격하여 컨테이너를 탈출하고 AWS IAM 권한을 탈취해 내부망 RDS 데이터를 유출한 침해 캠페인. | 서현재 |
| SB-05 | ClusterDrain | Kubernetes API 접근권을 이용한 Secret 및 클러스터 리소스 수집·유출 캠페인. | 강지윤 |
| SB-06 | Operation Hanguel Flow | Langflow CVE-2025-3248 기반 공개 AI/RAG 워크플로 서버 침해, Python 실행, 시스템 탐색, credential 단서 수집, 후속 도구 전송 흐름을 모델링한 캠페인. | 오한결 |
| SB-07 | OZZY PMS Chain | JBoss 기반 PMS 업데이트 경로 변조로 win01 SYSTEM 실행과 credential artifact 발견을 만들고, AWS control-plane GetPasswordData로 win01 local Administrator 컨텍스트를 확보한 뒤 DC C$/WinRM 접근과 manual-mapping LSASS dump 흐름으로 확장하는 AD 공급망 침해 캠페인. | 오한결 |
Blue Team Playbooks
Technique별 프롬프트가 아니라, 내부망 원격 실행, 내부망 스캔, credential 접근, 데이터 staging 같은 반복 공격 행위별 IR Workflow를 정리한다.
WF-INITIAL-001 취약 서비스 악용 기반 초기 침투
외부 노출 서비스의 취약점, 비인증 API, 웹 요청 기반 RCE를 통해 초기 실행 권한을 얻은 정황을 분석한다.
T1190
T1059
T1203
T1105
WF-CICD-001 CI/CD 서버 정찰 및 Credential 악용
Jenkins 등 CI/CD 서버에서 Job, workspace, credential metadata, API token을 정찰하거나 악용한 정황을 분석한다.
T1592
T1552
T1078
T1213
T1021.004
WF-CRED-001 설정 파일 및 Secret 기반 자격 증명 수집
설정 파일, 환경변수, Kubernetes Secret, 클라우드 Secret, credential artifact에서 자격 증명을 수집한 정황을 분석한다.
T1552
T1552.001
T1552.004
T1555
T1003
WF-REMOTE-001 내부망 원격 실행 분석
SSH, WinRM, PowerShell 등으로 내부 서버에 접속하거나 원격 명령을 실행한 정황을 분석한다.
T1021.004
T1021.006
T1059.001
T1078
WF-CMD-001 스크립트/인터프리터 기반 명령 실행
PowerShell, Python, shell, curl/wget, kubectl exec 등 스크립트와 인터프리터를 이용한 명령 실행 정황을 분석한다.
T1059
T1059.001
T1059.004
T1059.006
T1609
T1105
WF-DISCOVERY-001 시스템·계정·네트워크 정보 수집
침투 이후 계정, 권한, 호스트명, 도메인, 네트워크, 서비스, 공유 자원을 수집한 정황을 분석한다.
T1082
T1033
T1087
T1016
T1018
T1135
T1046
WF-K8S-001 Kubernetes API 정찰 및 권한 오용
Kubernetes API를 통한 리소스 정찰, Secret 조회, exec, Pod 배포, RBAC 변경 정황을 분석한다.
T1613
T1552.007
T1609
T1611
T1610
T1098
WF-CLOUD-001 클라우드 메타데이터 및 임시 자격 증명 악용
IMDS, STS, Instance Profile, AWS CLI, Secrets Manager, S3 등 클라우드 임시 자격 증명 악용 정황을 분석한다.
T1552.005
T1078.004
T1528
T1530
T1567.002
WF-PRIVESC-001 권한 상승 및 경계 탈출
컨테이너 탈출, privileged pod, SYSTEM/root 권한 획득, 관리자 권한 전환 정황을 분석한다.
T1068
T1611
T1610
T1134
T1548
T1053
WF-PERSIST-001 지속성 확보 및 정상 흐름 위장
웹쉘, Scheduled Task, Golden Ticket, 정상 업데이트 흐름 위장 등 지속 접근 구조를 분석한다.
T1505.003
T1053
T1558.001
T1098
T1036
WF-SUPPLY-001 신뢰된 배포/업데이트 체인 변조
CI/CD 배포, 패치 파일, manifest, 업데이트 서버 등 신뢰된 배포 흐름에 공격 코드를 삽입한 정황을 분석한다.
T1195
T1195.002
T1036
T1105
T1053
T1021
WF-AD-001 AD 장악 및 도메인 권한 확대
Kerberoasting, LSASS dump, DCSync, Golden Ticket, NTDS 탈취 등 AD 장악 흐름을 분석한다.
T1558.003
T1003.001
T1003.006
T1003.003
T1558.001
T1021.006
WF-LOLBIN-001 정상 도구/서명된 바이너리 악용
rundll32, comsvcs.dll, PowerShell, schtasks 등 정상 도구를 프록시로 악용한 정황을 분석한다.
T1218
T1218.011
T1059.001
T1003.001
T1053
T1105
WF-DATA-001 민감 데이터 접근 및 수집
DB, RDS, 파일 서버, SaaS/문서 서버, Kubernetes Secret 등 민감 데이터에 접근하고 수집한 정황을 분석한다.
T1213
T1005
T1530
T1552
T1039
WF-STAGING-001 유출 전 데이터 스테이징 및 압축
수집 자료를 임시 경로, 공유 폴더, 로컬 staging 디렉터리에 모으고 압축/암호화한 정황을 분석한다.
T1074.001
T1560
T1560.001
T1036
T1005
WF-EXFIL-001 외부 전송 및 클라우드 저장소 유출
HTTPS POST, SSH 채널, S3 업로드, 외부 웹 수신지 등으로 데이터가 유출된 정황을 분석한다.
T1041
T1048
T1048.002
T1567.002
T1105
WF-SCAN-001 내부망 스캔 의심 대응
짧은 시간 동안 여러 내부 IP 또는 여러 포트로 연결을 시도한 정찰 행위를 분석한다.
T1046
T1018
T1592
T1059
Log Catalog
로그별 저장 위치, 수집 방식, 주요 필드, 연결 Technique을 분리해 정리한 공통 로그 사전이다.
| ID | Name | Description | Techniques |
|---|---|---|---|
| AWSL-001 | AWS VPC Flow Log | AWS VPC 네트워크 흐름에서 외부 전송과 서버 간 통신을 확인하는 로그. | T1048.002,T1021.004 |
| DBL-001 | PostgreSQL Connection and Query Log | PostgreSQL 접속과 쿼리 실행 흔적을 확인하는 데이터베이스 로그. | T1213.006,T1078 |
| HFA-001 | Linux auditd Execve Log | Linux auditd execve 이벤트로 shell/python 실행, discovery 명령, tool transfer 명령을 확인하는 로그. | T1059,T1059.004,T1059.006,T1082,T1083,T1105 |
| HFA-002 | Linux auditd Sensitive File Access Log | auditd로 `/etc/passwd`, `/etc/shadow`, `/etc/sudoers` 등 민감 파일 접근을 확인하는 로그. | T1005,T1003 |
| HFA-003 | Linux auditd Docker Socket Access Log | auditd로 `/var/run/docker.sock` 접근을 확인하여 container escape 또는 host Docker 제어 시도를 분석하는 로그. | T1611 |
| HFA-004 | Linux auditd Tool Transfer Log | auditd에서 `curl`, `wget` 실행을 추적하여 RCE 이후 도구 다운로드 시도를 확인하는 로그. | T1105 |
| HFC-001 | CloudTrail Management Event | AWS API 사용, IAM/보안그룹 변경, EC2 start/stop, CloudTrail/WAF/GuardDuty 설정 변경을 추적하는 보조 로그. | T1078,T1098,T1562 |
| HFE-001 | Logstash Ingested Event | Logstash HTTP input으로 수집된 Hanguel IR Agent 이벤트의 수집 상태와 저장 index를 확인하는 로그. | T1190,T1059,T1082,T1083,T1005,T1105 |
| HFE-002 | Sequential Correlator Alert | 시간창 내 복수 이벤트를 묶어 RCE confirmed, RCE to collection, recon to exploit 같은 incident 후보를 생성하는 상관분석 알림. | T1595,T1190,T1059,T1005,T1105,T1611 |
| HFL-001 | Langflow/Nginx Access Log | Langflow 앞단 Nginx 및 Docker JSON access log에서 API 접근, 스캐닝, 취약 API 호출, path traversal, SSRF 의심 요청을 확인하는 로그. | T1595,T1190,T1005,T1059 |
| HFL-002 | Langflow App Container Log | Langflow application/container stdout에서 application error, command output, discovery command 흔적을 확인하는 로그. | T1059,T1059.006,T1082,T1083,T1005,T1105 |
| HFL-003 | Hanguel IR Agent Enriched Event | Hanguel IR Agent가 Docker log, host log, auditd log를 ECS 유사 JSON으로 enrich하여 Logstash로 전송한 정규화 이벤트. | T1595,T1190,T1059.006,T1059.004,T1082,T1083,T1005,T1003,T1105,T1611,T1110,T1078 |
| HFL-004 | Linux SSH Auth Log | Linux `/var/log/auth.log`에서 SSH 실패, 성공, 세션 이벤트를 확인하는 로그. 현재 Hanguel agent는 실패 탐지가 우선 구현되어 있다. | T1110,T1021.004,T1078 |
| HFW-001 | AWS WAF Log | ALB 앞단 AWS WAF에서 web attack, scanning, known bad input 판단을 확인하는 보조 로그. | T1190,T1595 |
| HFW-002 | VPC Flow Log | VPC 네트워크 흐름에서 내부 통신, 외부 통신, C2 의심 연결, 비정상 egress를 분석하는 보조 로그. | T1041,T1048,T1021,T1595,T1105 |
| JL-001 | Jenkins HTTP Access Log | Jenkins Web UI와 CLI jar 접근 흔적을 확인하는 HTTP access log. | T1592,T1190,T1213 |
| JL-002 | Jenkins Docker and System Log | Jenkins 컨테이너 표준 출력과 내부 시스템 이벤트를 확인하는 로그. | T1078,T1190,T1213,T1552.004 |
| LL-001 | Linux SSH Auth Log | Linux SSH 인증 성공/실패와 세션 이벤트를 확인하는 로그. | T1021.004,T1078,T1110 |
| LL-002 | Linux auditd File Access Log | Linux auditd로 민감 경로 접근과 명령 실행을 추적하는 로그. | T1083,T1074.001,T1552.001 |