정보 수집은 타겟과 관련된 정보를 수집하는 단계다. 공격에 앞서 타겟 호스트와 네트워크에 관련된 이해도를 높이고, 더 성공적인 공격을 수행하기 위해서 정보 수집 단계는 필수다. 정보 수집에는 많은 종류가 있지만, 이 플레이북에서는 다음 정보 수집에 집중한다.

• 로컬 호스트 정보 수집 - 유저, 서비스, 프로세스, 개발 환경, 보안

• 네트워크 정보 수집 - 도메인, 도메인 간 신뢰, 유저, 그룹, 호스트, 그룹 정책, 비밀번호 정책, 액티브 디렉토리 설정, 등

레드팀의 입장에서는 호스트 정보 수집을 진행한 뒤 현재 있는 호스트가 충분히 안전하다고 판단하면 네트워크 정보 수집을 진행하는 것이 좋다. 비컨이 실행되자마자 SharpHound 같은 툴을 돌렸다가는 바로 블루팀에게 걸릴 것이기 때문이다. 공격에 앞서 현재 내가 어딨는지, 누구 (어떤 유저)인지, 어떤 프로세스가 돌아가고 있으며, 어떤 엔드포인트 보안이 실행되고 있는지 판단한다.

수집한 로컬 호스트 정보를 바탕으로 현 호스트에서 권한 상승을 진행할 것인지, 아닌지, 혹은 다른 호스트로 횡적이동을 할 것인지 등등을 정한다. 횡적 이동을 진행한다면 네트워크 정보 수집을 진행해 현재 어떤 네트워크에 있는지 등을 파악한다. 그 뒤 공격을 진행한다.

실제 APT 그룹들의 공격 또한 초기 침투 이후 오랜시간 동안 호스트에 잠복해 있으며 정보 수집만 하는 형태도 있다. 길게는 몇 달 동안 잠복해 있으며 정보 수집을 하다가, 주말이나 공휴일 새벽에 재빠르게 공격을 한 뒤 목표 달성을 하는 형태의 공격도 있다.

어떤 형태로 공격을 진행하던 정보 수집 단계는 매우 중요하다. 로컬 호스트 정보 수집과 내부망 액티브 디렉토리 정보 수집에 대해서 알아보자.