APT 장비 기반 보안 위협 탐지 룰 설정 예시

실시간으로 발생하는 사이버 보안 위협에 효과적으로 대응하기 위해서는 위협 이벤트에 대한 즉각적인 조치가 필수적입니다. 끊임없이 변화하는 사이버 위협 환경에서 효율적으로 문제를 해결하기 위해서는 보안 위협 이벤트를 탐지할 수 있는 규칙을 설정하고 이를 처리하는 명확하고 체계적인 프로세스를 구축하는 것이 가장 중요한 과제입니다.

 

이 글에서는 실제 실무에서 보안 위협 탐지를 수행한 사례를 중심으로, 중요한 보안 설정 규칙을 활용한 대응 및 처리 과정에 대해 설명드리겠습니다. 이는 정보 보안 분야에서 종사하시는 분들께 조금이라도 실질적인 도움이 되기를 바라는 마음으로 작성되었습니다.

 

본문 내용은 저희 회사의 사례를 예로 든것으로 절대적인 정답으로 받아들이기보다는 다양한 관점에서 활용하시기 바랍니다. 해당 내용은 특정 벤더의 APT 탐지 보안 장비를 기준으로 작성된 규칙(playbook)을 바탕으로 구성하였습니다. 다만, 각 벤더사 마다 playbook의 구조와 세부 내용이 달라질 수 있으므로 이를 염두에 두고 읽어주시면 감사하겠습니다.

 

우리 회사 보안위협탐지 처리 프로세스 예시

 

현재 제가 근무하고 있는 보안팀에서는 총 4단계로 진행하고 있으며 효율적 운영을 위해 계속 개선하고 있습니다. 다음과 같은 단계로 침해사고대응을 진행하고 있으며 이와 같은 대응 프로세스는 회사마다 모두 다를수 있습니다.

 

보안위협 대응 프로세스

 

• 1단계, 위협탐지 (탐지메일확인, 위협type 확인)
• 2단계, 위협분석 (유형별 로그분석, 유형별 rule 내용 확인)
• 3단계, 전파.대응 (관련팀 및 보안팀 내용전파, 위협 이벤트 처리진행)
• 4단계, 처리 결과 기록 (공유 게시판 히스토리 기록, 오탐일경우 rule update)

 

사이버 보안위협탐지 Rule TOP List 5

 

Threat-01 악성코드(Malware)

---

악성 코드(Malware) & 악성 파워쉘(Power shell) 스크립트 다운로드 탐지

다운로드 파일 -> 확장자 .exe, .ps1, .ini, .bat, .vbs, .js 등

 

대응 및 분석 

• requestUrl 필드 확인 후 -> 예: http://xx.1x.x5.98/Project1.exe  -> 실제 악성코드 파일 다운로드 가능 여부 확인.

• 윈도우 명령으로 다운로드한 파일 Hash 값 점검 -> certutil -hashfile c:\다운로드파일.exe sha256 (or md5)

• Virustotal 사이트 방문 -> Hash 값 입력후 정상파일 여부 확인

• 예:SHA256의 c:\aaa.exe 해시->   ece7c0ebfd5f8245dd04745042e819efec2017f833e924fb4c74eabnc8c559bb

• 악성코드로 확인될 경우 차단 진행

 

APT 위협 탐지 악성코드 다운로드

예: DDI RU 92.38.xx.xx 443 KR x.x9.x.1x 37489 Executable file download from root directory - HTTP (Response) http://x.x8.xx5.x3/size.exe

 

Threat-02 채굴통신(Miner)

---

가상 화폐 관련 채굴(Miner) 통신 탐지

 

대응 및 분석

출발지 IDC 내부 -> 외부 호스트로 통신 탐지 -> 심층 분석 후 차단 진행

 

APT 위협 탐지 채굴코드_Miner

예: DDI KR x.x.x.x 62621 KR x.2x.1.x 443 TCP MINER - TCP (Request)

예: DDI KR x.x.x.198 80 KR 5x.x.x.x 49,819 TCP XMRIG – HTTP (Response

 

 

Threat-03 웹쉘(Webshell)

---

웹쉘 통신 탐지

웹쉘 파일 -> 확장자 .asp, .aspx, jsp, php 등

 

대응 및 분석 

외부 ->  IDC내 웹사이트 특정 URL(웹쉘 파일) 접속 (아래와 같은경우 차단)

실제 url 접속 -> 웹쉘 파일이 존재하는지 확인 (404 not found 경우 웹쉘 파일 없는것임)

 

APT 위협 탐지 Webshell

예: DDI CN 1x.x.x.x 52331 KR x.x.x.x 80 HTTP ANTSWORD - HTTP (Request) http://xx.xx.xx/xx/282983/xx/image/11xxx_202xxxxxx47.aspx

예: DDI HK x.x.x.8 50370 KR x.x.x.x 80 HTTP CHOPPER - HTTP (Request) http://1xxxx2.com/date/js/v5/v5she.aSpX

 

Threat-04 스캔성(SQL Injection, XSS, VirusPattern)

---

SQL 인젝션, XSS(크로스사이트스크립팅), Virus Pattern

Virus Pattern : CVE 취약점(SSL Heartbleed 등), CGI 취약점, Traversal 등

 

대응 및 분석

 

출발지 동일한 곳에서 몇 분간 지속적으로 탐지될 경우 방화벽에서 차단 진행

출발지 국내 IP의 경우 고객사일수 있으니 잘 판단하여 차단 진행

APT_Network_Virus_Pattern_in_TCP_위협 탐지

 

예: DDI KR x.x.x.x 443 US x.x.x.x Network Virus Pattern in TCP OPS_CVE-2014-0160_SSL_HEARTBEAT_EXPLOIT - TCP

 

APT 위협 탐지 SQL Injection_or_XSS

 

예: DDI RU x.x.x.x 53119 KR x.x.x.x 80 HTTP SQLINJECT - HTTP (Request) http://gxx.xxp.or.kr/bbs/board.php?wr_id=100523&bo_table=consulting%20AND%201=1

 

예: DDI PL x.x.x.x 41350 KR x.x.x.x 8080 HTTP WebScript Injection - HTTP (Request) http://x.x.x.x:8080/xxx/xx/xx/Login.do?checkId=&checkId=>

 

 

Threat-05 의심스러운 통신(RDP, Reputation, 스캔성 과다접속)

---

의심스러운 비정상 통신 접속 탐지

해외 RDP 접속, 트렌드마이크로 평판 DB 기준 의심 통신, DB 포트로 1분에 1000회 이상 접속 탐지

 

대응 및 분석방법

 

RDP 접속 : 해외 IP -> 원격데스크톱 연결 성공 탐지 (해외 고객사 요청에의한 정상 접속 여부 파악 필요)

APT RDP 로그인 위협 탐지

예: DDI PL x.x.x.x 39975 KR x.x.x.x 3338 RDP Successful logon - RDP

평판 DB 기준 의심 통신 : Virustotal 사이트에 IP, Domain등 정보 입력 및 분석 후 차단

APT 평판 기준 위협 통신 탐지

 

예: DDI JP x.x.x.x 40148 KR x.x.x.x 80 Dangerous URL in Web Reputation Services database - HTTP (Request) http://x.x.x.x:80/shell?cd+/tmp;rm+-

특정 포트 접속 : 1분에 1000회 이상 접속시 탐지되며, 가급적 해외 IP일 경우 차단 진행

특정 Port 1분간 500회 이상 접속 

예: FW-01 CN x.x.x.x 2990 KR x.x.x.x 8080 특정 Port 1분간 500회 이상 접속 Source IP 차단 진행

 

 

본문 내용에서 보시는 바와 같이 매우 심각한 보안 위협이 되는 중요 보안 이벤트에 대하여 탐지 룰을 정의하여 관리하고 지속적으로 보완해 나가면 조금이나마 자사 사이버 보안 위협에 대한 효율적인 대응을 할수 있습니다. 보안 playbook(rule)은 지속적인 커스터마이징을 통해 수정 보완해야 오탐률을 최소화 할수있습니다. 

 

공격자(해커)들은 지금 이순간에도 우리가 모르는 제로데이 취약점을 이용하여 어딘가를 염탐하고있을지도 모릅니다. 항상 보안에 대한 경각심을 가지고 항상 의심하는 마인드로 보안업무를 수행하는것이 가장 중요하다고 생각합니다.