Spacebar Campaigns
Home / Campaigns / SB-01 Demo

SB-01 Demo

이 페이지는 SB-01 2024 PipelineKey를 기준으로 만든 캠페인 페이지 데모다. 실제 캠페인 설명, ATT&CK Technique 표, Matrix View, Primary Logs 연결, 로그 상세 페이지로 이어지는 흐름을 한 번에 검토하기 위한 샘플이다. 팀원들은 이 구조를 참고해 각자 캠페인의 Page 1과 Page 2를 정리한다.

ID:
SB-00
First Seen:
January 2024
Last Seen:
May 2024
Version:
0.7
Owner:
Spacebar Team
Focus:
Campaign page structure, ATT&CK mapping, Primary Logs, log detail linking

Groups

IDNameDescription
G-SB-001BreadKimchi2024 PipelineKey 활동과 연결된 가상 공격 그룹이다.

Techniques Used

PhaseTechniqueUse in DemoPrimary Logs
ReconT1592Jenkins 응답 헤더, CLI jar, UI 노출 여부 확인JL-001
Credential AccessT1552.001개발자 단말 설정/스크립트에서 Jenkins API Token 확인확장 필요
Initial AccessT1078탈취한 Jenkins API Token으로 Jenkins CLI 인증JL-002
Initial AccessT1190Jenkins CLI CVE-2024-23897 파일 읽기 악용JL-001, JL-002
CollectionT1213Jenkins job, build log, workspace, credential metadata 조사JL-001, JL-002
Credential AccessT1552.004Jenkins 배포 credential에서 SSH private key 단서 확인JL-002
Lateral MovementT1021.004배포 키와 deploy 계정으로 App 서버 SSH 접근LL-001
DiscoveryT1083App 운영 경로와 환경 설정 파일 탐색LL-002
CollectionT1213.006PostgreSQL 고객/예약 데이터 조회DBL-001
CollectionT1074.001수집 데이터를 App 서버 임시 경로에 stagingLL-002
ExfiltrationT1048.002HTTPS 또는 SSH 기반 채널로 압축/암호화 데이터 전송AWSL-001

Matrix View

Reconnaissance
T1592 Gather Victim Host InformationJenkins 응답, CLI jar, UI 정보 확인
Resource Development
No SB-01 Technique이번 캠페인에서는 별도 인프라 준비 행위를 모델링하지 않음
Initial Access
T1078 Valid AccountsJenkins API Token으로 CLI 인증
T1190 Exploit Public-Facing ApplicationJenkins CLI 파일 읽기 취약점 악용
Execution
No SB-01 TechniqueJenkins/App 내 명령 실행은 후속 확장 후보
Persistence
No SB-01 Technique지속성 확보 단계는 이번 캠페인 범위 밖
Privilege Escalation
No SB-01 Technique권한 상승은 별도 단계로 모델링하지 않음
Defense Evasion
No SB-01 Technique로그 삭제/탐지 회피는 이번 버전에서 제외
Credential Access
T1552.001 Credentials in Files저장된 Jenkins API Token 확인
T1552.004 Private Keys배포 private key 단서 확보
Discovery
T1083 File and Directory DiscoveryApp 경로와 설정 파일 탐색
Lateral Movement
T1021.004 Remote Services: SSHdeploy 계정으로 App 서버 접근
Collection
T1213 Data from Information RepositoriesJenkins job/build/workspace 정보 조사
T1213.006 DatabasesPostgreSQL 예약 데이터 조회
T1074.001 Local Data Staging데이터를 임시 경로에 staging
Command and Control
Not emphasizedSB-01에서는 주요 강조 영역 아님
Exfiltration
T1048.002 Exfiltration Over Asymmetric Encrypted Non-C2 ProtocolHTTPS/SSH 기반 외부 전송
Impact
No SB-01 Technique데이터 파괴/서비스 중단은 이번 캠페인 목표가 아님

Software

IDNameDescription
S-SB-001Jenkins기업 개발팀의 빌드, 테스트, 배포 자동화를 담당하는 CI/CD 서버다.
S-SB-002Jenkins CLIJenkins controller에 명령을 전달하는 CLI 구성 요소이며, CVE-2024-23897 파일 읽기 취약점의 악용 경로로 사용되었다.
S-SB-003Spacebar Booking AppJenkins를 통해 App 서버에 배포되는 예약 서비스다.
S-SB-004PostgreSQL고객 및 예약 데이터를 저장하는 내부 DB 서버다.

References

  1. MITRE ATT&CK Enterprise Matrix
  2. MITRE ATT&CK, Campaign C0024 SolarWinds Compromise
  3. Jenkins Security Advisory 2024-01-24, CVE-2024-23897