기술지원센터 기술 1팀 김정엽

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.   

1. 개요

SPiDER TM에서 제공하는 상관분석 기능을 활용하면 악성코드의 여러 공격들간의 인과관계 분석을 통해 공격을 탐지하고 분석할 수 있다.

상관분석을 활용하여 BitCoin-Miner 악성코드를 탐지하는 방법을 알아보자.

2. 상관분석

1) 기존 경보의 제약 사항

  ㆍ 단편적인 경보를 통하여 탐지되는 정보의 한계

  ㆍ 이기종 장비에서 탐지되는 공격행위의 상관관계를 통한 분석의 한계

  ㆍ 공격의 유효성 확인의 어려움

2) 상관분석 기능 및 효과

  ㆍ 공격의 인과관계를 통하여 공격의 정오탐 여부를 검증

  ㆍ 단편적 정보가 아닌 복합적정보를 통하여 공격의 행위를 복합적으로 검증

3. 공격 시나리오

1) BitCoin-Miner 개요

최근 뉴스를 보면 비트코인에 관련된 신문기사를 자주 볼 수 있다. 확인할 수는 없으나 가까운 미래에 경제 및 금융에 많은 변화를 일으킬 가능성 매우 높은 재화가 비트코인이 아닌가 한다. 현재 이런 비트코인을 채굴하기 위해 많이 발생되는 공격형태를 SIEM의 상관분석의 기능으로 탐지 하고자 한다.

2) BitCoin-Miner 공격  시나리오

① 피해자의 유해 사이트 접근

② 웹사이트내에서의 감염

③ 피해 대상의 Drive By Download

④ PC에 설치된 APT 장비에서의 탐지

① 공격자는 취약점이 존재하는 웹 서버에 악성코드를 심어 넣고 공격대상을 기다린다.

② 감염대상은 공격자가 악성코드를 심어놓은 웹사이트를 직접 방문하는게 아니라 광고나 팝업 등 다양한 방법으로 감염대상에게 모르게 악성코드가 설치된다.

③ 악성코드는 탐지 형 보안장비를 통해 유입되면서 감염대상의 네트워크 내에 유입된다.

④ 네트워크로 유입되는 악성코드는 단말기에 사용자의 의도와는 상관없이 설치된다.

4. BitCoin-Miner 악성코드 상관분석

1) BitCoin-Miner 악성코드 상관분석 등록

① 상관분석 1단계

  - 내부사용자의 유해IP접근 (FW)

② 상관분석 2단계

  - IPS에서 Drive By Download 탐지 (IPS 패턴명 → Drive By Download)

③ 상관분석 3단계

  - APT 장비에서의 비트코인 마이너 탐지 (APT 탐지명 → Bitcoinminer)

2) 상관분석 시나리오 등록 및 탐지

① 상관분석 시나리오 룰 등록

  - 상관분석 룰명 – [상관분석] BitCoin-Miner 악성코드 탐지

1차 - 내부사용자의 유해IP접근 (FW) 

2차 - IPS에서 Drive By Download 탐지 (IPS 패턴명 → Drive By Download)  승계조건 : Source IP

3차 - APT 장비에서의 비트코인 마이너 탐지 (APT 탐지명 → Bitcoinminer)  승계조건 : Source IP

② 상관분석 경보 탐지

5. 로그 추적 분석을 활용한 Victim PC 추적

1) 상관분석에서 로그추적분석 단계로 전환

  - 발생된 상관분석 경보의 출발지IP에 마우스 우측 버튼으로 로그추적 분석 클릭

2) 로그추적분석을 활용한 Victim PC 추적

  - 분석 조건에 자동으로 출발지IP가 등록되어 보안장비에서 공격 플로우 이력 확인

6. 결론 - SPiDER TM 5.0 상관분석 기능 활용