보안위협 탐지 Rule 설정 방법 및 실제 예시

현재 발생하고 있는 사이버 보안 위협에 신속하게 대응하기 위해서는, 각종 정보를 수집하여 분석하는 과정에서 시간을 지체하지 않고 빠르게 처리하는 것이 무엇보다 중요합니다. 계속해서 발생하는 사이버 공격에 대처하기 위해서는, 악성코드를 감지할 수 있는 규칙을 만들고 이를 적용하는 절차를 마련하는 것이 무엇보다 시급한 과제입니다.

 

실제로 기업의 보안담당자가 수행하는 업무 중 하나인 보안 위협 탐지 및 분석을 통해 도출된 취약점들에 대해 어떻게 대응하고 있는지, 그 방법에 대해 자세히 알아보도록 하겠습니다. 이 책이 정보 보안 분야에서 일하는 분들에게 작게나마 도움이 되길 바랍니다. 본 자료는 단순 참고용으로 작성된 것이므로 실제와 다를 수 있습니다.

 

본문의 내용은 특정 벤더의 APT 탐지 보안 장비를 기준으로 작성된 규칙(플레이북)입니다. 각 공급업체마다 작업 절차가 다르다는 점을 염두에 두고 해당 문서를 살펴보시기 바랍니다.

 

보안 위협 탐지 및 대응 절차

 

저희 회사는 현재 총 4단계로 업무가 이루어지고 있으며 보다 효율적인 운영을 위해 지속적으로 개선중입니다. 각 기업별로 침해사고 대응 절차가 조금씩 상이할 수 있으나, 일반적으로 아래와 같은 순서로 사고에 대한 대처를 하고 있습니다.

 

보안위협탐지-프로세스

 

  • 1단계, 위협탐지 (탐지메일확인, 위협type 확인)
  • 2단계, 위협분석 (유형별 로그분석, 유형별 rule 내용 확인)
  • 3단계, 전파.대응 (관련팀 및 보안팀 내용전파, 위협 이벤트 처리진행)
  • 4단계, 처리 결과 기록 (공유 게시판 히스토리 기록, 오탐일경우 rule update)

 

사이버 보안위협탐지 Rule TOP List 5

 

위협탐지 Rule-01 악성코드(Malware)

악성 코드(Malware) & 악성 파워쉘(Power shell) 스크립트 다운로드 탐지
다운로드 파일 -> 확장자 .exe, .ps1, .ini, .bat, .vbs, .js 등

 

대응 및 분석

• requestUrl 필드 확인 후 -> 예: http://xx.1x.x5.98/Project1.exe -> 실제 악성코드 파일 다운로드 가능 여부 확인.
• 윈도우 명령으로 다운로드한 파일 Hash 값 점검 -> certutil -hashfile c:\다운로드파일.exe sha256 (or md5)
• Virustotal 사이트 방문 -> Hash 값 입력후 정상파일 여부 확인
• 예:SHA256의 c:\aaa.exe 해시-> ece7c0ebfd5f8245dd04745042e819efec2017f833e924fb4c74eabnc8c559bb
• 악성코드로 확인될 경우 차단 진행

 

APT 위협 탐지 악성코드 다운로드

예: DDI RU 92.38.xx.xx 443 KR x.x9.x.1x 37489 Executable file download from root directory – HTTP (Response) http://x.x8.xx5.x3/size.exe

 

위협탐지 Rule-02 채굴통신(Miner)

 

가상 화폐 관련 채굴(Miner) 통신 탐지

 

대응 및 분석

 

출발지 IDC 내부 -> 외부 호스트로 통신 탐지 -> 심층 분석 후 차단 진행APT 위협 탐지 채굴코드_Miner

예: DDI KR x.x.x.x 62621 KR x.2x.1.x 443 TCP MINER – TCP (Request)

예: DDI KR x.x.x.198 80 KR 5x.x.x.x 49,819 TCP XMRIG – HTTP (Response

 

 

위협탐지 Rule-03 웹쉘(Webshell)

웹쉘 통신 탐지 , 웹쉘 파일 -> 확장자 .asp, .aspx, jsp, php 등

 

대응 및 분석

외부 -> IDC내 웹사이트 특정 URL(웹쉘 파일) 접속 (아래와 같은경우 차단)
실제 url 접속 -> 웹쉘 파일이 존재하는지 확인 (404 not found 경우 웹쉘 파일 없는것임)

 

APT 위협 탐지 Webshell

예: DDI CN 1x.x.x.x 52331 KR x.x.x.x 80 HTTP ANTSWORD – HTTP (Request) http://xx.xx.xx/xx/282983/xx/image/11xxx_202xxxxxx47.aspx

예: DDI HK x.x.x.8 50370 KR x.x.x.x 80 HTTP CHOPPER – HTTP (Request) http://1xxxx2.com/date/js/v5/v5she.aSpX

위협탐지 Rule-04 스캔성(SQL Injection, XSS, VirusPattern)

SQL 인젝션, XSS(크로스사이트스크립팅), Virus Pattern
Virus Pattern : CVE 취약점(SSL Heartbleed 등), CGI 취약점, Traversal 등

대응 및 분석

 

출발지 동일한 곳에서 몇 분간 지속적으로 탐지될 경우 방화벽에서 차단 진행
출발지 국내 IP의 경우 고객사일수 있으니 잘 판단하여 차단 진행
APT_Network_Virus_Pattern_in_TCP_위협 탐지

 

예: DDI KR x.x.x.x 443 US x.x.x.x Network Virus Pattern in TCP OPS_CVE-2014-0160_SSL_HEARTBEAT_EXPLOIT – TCP

 

APT 위협 탐지 SQL Injection_or_XSS

 

예: DDI RU x.x.x.x 53119 KR x.x.x.x 80 HTTP SQLINJECT – HTTP (Request) http://gxx.xxp.or.kr/bbs/board.php?wr_id=100523&bo_table=consulting%20AND%201=1

 

예: DDI PL x.x.x.x 41350 KR x.x.x.x 8080 HTTP WebScript Injection – HTTP (Request) http://x.x.x.x:8080/xxx/xx/xx/Login.do?checkId=&checkId=></script

 

위협탐지 Rule-05 의심스러운 통신(RDP, Reputation, 스캔성 과다접속)

 

의심스러운 비정상 통신 접속 탐지
해외 RDP 접속, 트렌드마이크로 평판 DB 기준 의심 통신, DB 포트로 1분에 1000회 이상 접속 탐지

대응 및 분석방법

 

RDP 접속 : 해외 IP -> 원격데스크톱 연결 성공 탐지 (해외 고객사 요청에의한 정상 접속 여부 파악 필요)
APT RDP 로그인 위협 탐지

예: DDI PL x.x.x.x 39975 KR x.x.x.x 3338 RDP Successful logon – RDP

평판 DB 기준 의심 통신 : Virustotal 사이트에 IP, Domain등 정보 입력 및 분석 후 차단

 

예: DDI JP x.x.x.x 40148 KR x.x.x.x 80 Dangerous URL in Web Reputation Services database – HTTP (Request) http://x.x.x.x:80/shell?cd+/tmp;rm+-

특정 포트 접속 : 1분에 1000회 이상 접속시 탐지되며, 가급적 해외 IP일 경우 차단 진행
특정 Port 1분간 500회 이상 접속

예: FW-01 CN x.x.x.x 2990 KR x.x.x.x 8080 특정 Port 1분간 500회 이상 접속 Source IP 차단 진행

 

이처럼 기업의 정보 자산 보호를 위해 발생 가능한 다양한 보안 위협들을 사전에 인지하고, 이를 효과적으로 차단할 수 있는 방안을 마련하는 것은 매우 중요합니다. 보안 플레이북은 지속적으로 업데이트를 해주어야만 오탐율을 줄일 수 있습니다.

해커들은 지금 이 순간에도 알려지지 않은 보안 취약점을 통해 어디선가 정보를 빼내고 있을 수도 있습니다.
정보보안은 아무리 강조해도 지나치지 않습니다. 그러므로, 늘 경계하고 조심하는 자세로 업무에 임해야 합니다.

 


게시됨

카테고리

작성자

댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다