보안관제사업본부 보안분석팀 김지우

​​

1. 개요

ESM Guide에서는 UNIX 서버에서 발생하는 로그 내용 중 시스템 이벤트에 대한 분석을 통해 ESM에서 효과적으로 탐지할 수 있는 방법을 소개한다.

2. 공격 시나리오

①서버 시스템 접근 시도

②로그인 실패 (무차별대입 공격 등)

③로그인 성공

④비인가 접근 성공 후 악성 행위 (파일 생성, 변경, 삭제 등)

⑤이벤트 흔적 삭제

​

[그림1] 공격시나리오​

1) 테스트 사용 환경

• Victim  : SunOS 5.10

2) 시스템 이벤트 정리

​

[표1] 시스템 이벤트 설명

3. ESM 활용 방안

1) 비인가 접근 시도 탐지

서버 시스템에 대하여 비인가 접근을 시도하는 공격자는 포트 스캐닝과 같은 행위로 열려있는 서비스의 취약점을 이용하여 권한을 획득할 수도 있지만, SSH 서비스와 같은 정상적인 접근에서 무차별대입 공격 등으로 패스워드를 크랙하여 접근을 할 수도 있다. 서버 시스템에 대해 접근 시도 실패가 다수 발생한다면 공격을 의심해 볼 수 있다.

①연관성 정책설정에서 처리결과 부분의 Fail/Deny 체크 후 등록

②실시간 로그를 통해 비인가 접근 시 발생하는 Fail/Deny 이벤트 확인 가능

③비인가 접근 시도 경보 발생

​[그림2] 접근 시도 탐지

​​

2) 비인가 접근 후 로그인 성공 탐지

서버 시스템에 대한 접근 실패가 다수 발생하는 의심스러운 행위들 이후에 같은 목적지 서버에 대하여 로그인 성공 이벤트가 발생한다면 공격이 성공하여 시스템에 접근이 된 것으로 판단할 수 있다.

①연관성 정책설정에서 System 부분의 Connect/LogOn, LogOff를 체크 후 등록

②실시간 로그를 통해 로그인 성공 시 발생하는 Success/Accept  이벤트 확인 가능

②로그인 성공 경보 발생

​ 

​​[그림3] 로그인 성공 탐지

3) 악성 행위 탐지

비 인가자가 서버에 성공적으로 접근한다면 다양한 행위를 할 수 있지만 그 중에 서버 시스템에 저장되어 있는 패스워드 파일을 수정하거나, 중요 파일을 삭제하고, 백도어를 생성하는 등의 파일에 대한 악성 행위를 연관성 정책설정으로 탐지할 수 있다.

①연관성 정책설정에서 File Integrity 부분의 Create, Delete, Update를 체크 후 등록

②실시간 로그를 통해 파일변경 시 발생하는 Create, Delete, Update 이벤트 확인 가능

③파일 변경 경보 발생

​​[그림4] 악성 행위 탐지

4) 이벤트 흔적 삭제

별도의 서버에 Syslog 저장하지 않는다면 비 인가자가 서버 시스템 내에서 행동한 흔적을 감추기 위해 Syslog 기록을 삭제할 수 있다. 메시지의 위치는 Solaris의 경우 /var/adm/messages 이고 Linux의 경우 /var/log/messages 이다.

①연관성 정책설정에서 File Integrity 부분의 Delete를 체크 후 등록

②실시간 로그를 통해 Messages 파일의 Delete 이벤트 확인 가능

③이벤트 흔적 삭제 경보 발생

[그림5] 이벤트 흔적 삭제 탐지