WF-RECON-001 외부 노출 서비스 및 취약 표면 정찰
공개 노출된 웹/API/CI-CD/Ingress 서비스의 배너, URL, 포트, 취약 버전 식별 정황을 분석한다.
T1595
T1595.002
T1592
T1590
T1593
Blue Team Playbooks
Technique 하나가 아니라, 실제 관제와 침해사고 대응에서 반복적으로 마주치는 행위 단위로 분석 흐름을 정리한다. 각 Workflow는 먼저 볼 로그, 빠른 쿼리, 분석 순서, LLM Prompt Template, 대응 요약을 포함한다.
WF-INITIAL-001 취약 서비스 악용 기반 초기 침투
외부 노출 서비스의 취약점, 비인증 API, 웹 요청 기반 RCE를 통해 초기 실행 권한을 얻은 정황을 분석한다.
T1190
T1059
T1203
T1105
WF-CICD-001 CI/CD 서버 정찰 및 Credential 악용
Jenkins 등 CI/CD 서버에서 Job, workspace, credential metadata, API token을 정찰하거나 악용한 정황을 분석한다.
T1592
T1552
T1078
T1213
T1021.004
WF-CRED-001 설정 파일 및 Secret 기반 자격 증명 수집
설정 파일, 환경변수, Kubernetes Secret, 클라우드 Secret, credential artifact에서 자격 증명을 수집한 정황을 분석한다.
T1552
T1552.001
T1552.004
T1555
T1003
WF-REMOTE-001 내부망 원격 실행 분석
SSH, WinRM, PowerShell 등으로 내부 서버에 접속하거나 원격 명령을 실행한 정황을 분석한다.
T1021.004
T1021.006
T1059.001
T1078
WF-CMD-001 스크립트/인터프리터 기반 명령 실행
PowerShell, Python, shell, curl/wget, kubectl exec 등 스크립트와 인터프리터를 이용한 명령 실행 정황을 분석한다.
T1059
T1059.001
T1059.004
T1059.006
T1609
T1105
WF-DISCOVERY-001 시스템·계정·네트워크 정보 수집
침투 이후 계정, 권한, 호스트명, 도메인, 네트워크, 서비스, 공유 자원을 수집한 정황을 분석한다.
T1082
T1033
T1087
T1016
T1018
T1135
T1046
WF-K8S-001 Kubernetes API 정찰 및 권한 오용
Kubernetes API를 통한 리소스 정찰, Secret 조회, exec, Pod 배포, RBAC 변경 정황을 분석한다.
T1613
T1552.007
T1609
T1611
T1610
T1098
WF-CLOUD-001 클라우드 메타데이터 및 임시 자격 증명 악용
IMDS, STS, Instance Profile, AWS CLI, Secrets Manager, S3 등 클라우드 임시 자격 증명 악용 정황을 분석한다.
T1552.005
T1078.004
T1528
T1530
T1567.002
WF-PRIVESC-001 권한 상승 및 경계 탈출
컨테이너 탈출, privileged pod, SYSTEM/root 권한 획득, 관리자 권한 전환 정황을 분석한다.
T1068
T1611
T1610
T1134
T1548
T1053
WF-PERSIST-001 지속성 확보 및 정상 흐름 위장
웹쉘, Scheduled Task, Golden Ticket, 정상 업데이트 흐름 위장 등 지속 접근 구조를 분석한다.
T1505.003
T1053
T1558.001
T1098
T1036
WF-SUPPLY-001 신뢰된 배포/업데이트 체인 변조
CI/CD 배포, 패치 파일, manifest, 업데이트 서버 등 신뢰된 배포 흐름에 공격 코드를 삽입한 정황을 분석한다.
T1195
T1195.002
T1036
T1105
T1053
T1021
WF-AD-001 AD 장악 및 도메인 권한 확대
Kerberoasting, LSASS dump, DCSync, Golden Ticket, NTDS 탈취 등 AD 장악 흐름을 분석한다.
T1558.003
T1003.001
T1003.006
T1003.003
T1558.001
T1021.006
WF-LOLBIN-001 정상 도구/서명된 바이너리 악용
rundll32, comsvcs.dll, PowerShell, schtasks 등 정상 도구를 프록시로 악용한 정황을 분석한다.
T1218
T1218.011
T1059.001
T1003.001
T1053
T1105
WF-DATA-001 민감 데이터 접근 및 수집
DB, RDS, 파일 서버, SaaS/문서 서버, Kubernetes Secret 등 민감 데이터에 접근하고 수집한 정황을 분석한다.
T1213
T1005
T1530
T1552
T1039
WF-STAGING-001 유출 전 데이터 스테이징 및 압축
수집 자료를 임시 경로, 공유 폴더, 로컬 staging 디렉터리에 모으고 압축/암호화한 정황을 분석한다.
T1074.001
T1560
T1560.001
T1036
T1005
WF-EXFIL-001 외부 전송 및 클라우드 저장소 유출
HTTPS POST, SSH 채널, S3 업로드, 외부 웹 수신지 등으로 데이터가 유출된 정황을 분석한다.
T1041
T1048
T1048.002
T1567.002
T1105
WF-SCAN-001 내부망 스캔 의심 대응
짧은 시간 동안 여러 내부 IP 또는 여러 포트로 연결을 시도한 정찰 행위를 분석한다.
T1046
T1018
T1592
T1059