보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM을 활용한 익명의 SNS 요청 악성 코드 탐지

2019.10.07

3,503

 

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리 솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

 

 

1. SNS가 악성코드 감염경로?

 

현재 우리는 시간과 공간의 제약없이 SNS을 쉽게 이용할 수 있다. 대표적인 SNS인 페이스북, 트위터, 인스타그램 등을 이용하는 사용자는 지속적으로 증가하고 있으며, 누구나 쉽게 정보를 공유하며 소통한다.  

따라서 접근이 쉬운 만큼 누군가에게는 손쉬운 공격의 장이 될 수 있으며, SNS를 통한 공격은 불특정 다수의 수많은 사용자들이 대상이 되기 때문에 엄청난 파급효과를 불러온다. 

이번 SIEM가이드에서는 SNS상의 친구 요청, 사진 추가, 코멘트 확인 등 모르는 사람에게서 메일을 통해 전달되는 요청을 클릭할 경우 발생할 수 있는 악성코드 감염에 대해서  알아보고자 한다. 

 

 

2. 탐지 시나리오

  

 

[그림 1] 탐지 시나리오

 

 

1) SNS 요청 관련 메일 탐지 

 

 

 

[그림 2] SNS 메일로 위장한 공격메일 

 

 

[그림 2]와 같이 공격자는 위조한 메일을 통해 공격 대상에게 메일을 전송한다.

메일을 수신하는 사용자는 마치 SNS에서 실제로 전달하는 메일로 착각하고 메일을 열어보게 된다.

 

[그림 2]와 같은 SNS 메일을 이용한 공격을 탐지하기 위해 [그림 3]과 같이 메일 보안 솔루션에 대해  ‘Instargram’, ‘Facebook’, ’twitter’ 등의 문자열을 탐지하는 경보를 설정한다. 

 

 

 

[그림 3] SNS 메일에 대한 탐지 경보 

 

 

2) 요청 받은 SNS사이트 링크 이후 피싱 사이트 접근 

  

 

[그림 4] 피싱 사이트 접근

 

 

[그림 4]와 같이 위조된 SNS 메일에 존재하는 링크를  통해 사용자는 공격자의 피싱 사이트로 이동하게 된다.

 

이를 탐지하기 위해 방화벽을 이용하여 [그림 5]와 같이 블랙리스트 IP를 목적지로 접근하는 시도를 탐지하는 경보를 설정한다. 블랙리스트 IP는 SPiDER TM V5.0에서 제공하는 기능으로 피싱 사이트, C&C 서버 등 유해사이트에 대한 정보를 등록하고 탐지하는 기능이다. 

 

 

[그림 5] 피싱사이트 접근 탐지 경보

 

 

3) 피싱 사이트 이동한 사용자 PC에서  Malware 탐지 

 

 

[그림 6] 피싱 사이트로 인한 Malware 감염

 

 

피싱 사이트로 접근한 사용자는 공격자가 사이트에 심어놓은 Malware에 감염이 된다. 이번 가이드에서 사용된 Malware는 TROJAN.MSIL.BERBOMTHUM.AA이다. 해당 Malware는 감염 시 페이스트빈에 하드코딩 된 URL을 통해 지속적으로 내부정보를 유출하게 된다. 

 

피싱 사이트로 접근한 사용자 PC가 Malware에 감염되었기 때문에 백신을 이용하여 [그림 7]과 같이 Malware를 탐지하는 경보를 설정한다.

 

 

 

[그림 7] 피싱 사이트로 인한 Malware 감염 탐지 경보

 

 

3. 상관분석 룰 등록

 

▶ 앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 3단계까지 상관분석 등록

 

① 개인 메일이 아닌 사내 메일로 SNS 관련 요청을 받은 사용자 PC 탐지

② 요청을 받은 사용자 PC에서 Phishing 사이트 접근 탐지

③ Phishing 사이트에 접근하여 악성코드에 감염된 사용자 PC 탐지

 

승계 조건을 활용하여 연계 경보 탐지​ 

1단계 -> 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP

2단계 -> 3단계 승계 조건 : 2단계 출발지 IP = 3단계 목적지 IP​

  

 

[그림 8] 상관분석 룰 설정 및 경보 발생 화면 

 

 

4. 대응방안 및 결론

 

1) 대응방안

 

① 소셜 미디어(SNS) 및 모든 온라인 지인들에게서 공유되는 출처가 불분명한 URL 링크에 대해서는 실행을 자제 

② OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램 최신 패치를 반드시 적용하여 취약점 예방 

③ 백신 최신 버전 유지 및 실시간 감시 기능 실행 등 놓치기 쉬운 기본적인 보안 수칙을 반드시 준수

 

 

2) 결론

 

지금까지 공격 시나리오를 통해서 SNS를 이용한 공격의 위험성 및 SIEM의 상관분석 기능을 이용하여 공격 행위를 탐지하는 방법까지 알아보았다.

이처럼 SNS, 메일 등을 이용한 공격은 사회공학적 해킹 기법으로 시스템이 아니라 사람들의 습관적인 행동에 의해서 해킹이 발생한다. 그러므로 누구나 공격 대상이 될 수 있으며 자신도 모르는 사이 개인 정보가 유출될 수 있고 공격자가 나의 가까운 지인이 될 수도 있다. 이러한 공격에 피해를 입지 않기 위해서는 앞서 제시한 대응 방안을 반드시 준수해야 할 것이며, 보안솔루션에만 의지하는 기술적인 보안이 아닌 보안을 생활화하는 문화 조직과 더불어 개개인의 보안의식을 제고하는 것이 가장 중요하다.