보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

내부자산의 취약점 진단 관리를 넘어 보안관제의 정확성 및 신속성 강화

2019.09.03

4,686

 

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리 솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

 

 

1. 개요

 

인터넷구간 등 외부로부터 개인정보처리시스템에 대한 접속은 원칙적으로 차단하여야 한다. 그에 따른 수단으로는 가상사설망(VPN) 및 전용선을 구성하는 방법이 있으며, IPsec, OpenSSL과 같은 안전한 접속과 인증 및 필요하다. 이번 호에서는 내부 자산(서버 및 PC)을 대상으로 알려진 취약점 공격 시나리오에 따른 탐지 방법에 대해 알아보도록 하자.  

 

 

[그림 1] 내부자산정보를 활용한 취약점 공격 탐지 아키텍처

 

 

2. OpenSSL(HeartBleed) 위협 탐지 

 

1) 취약점 개요

 

OpenSSL 취약점은 OpenSSL 암호화 라이브러리의 하트비트(HeartBeat)라는 확장 모듈에서 클라이언트 요청 메시지를 처리할 때, 데이터 길이 검증을 수행하지 않아 시스템 메모리에 저장된 64KB 크기의 데이터를 외부에서 아무런 제한 없이 탈취할 수 있는 취약점이다.

※ 하트비트 : 클라이언트와 서버 간의 연결 상태를 체크하기 위한 OpenSSL 확장 모듈

 

 

2) 취약점 공격 형태

 

원격에서 발생 가능한 취약점으로, 공격자는 메시지 길이 정보가 변조된 HeartBeat Request 패킷을 취약한 OpenSSL 버전을 사용하는 서버에 전송할 경우, 정해진 버퍼 밖의 데이터를 공격자에게 전송하게 되어 시스템 메모리에 저장된 개인정보 및 인증 정보 등을 탈취할 수 있다. 

 

 

 

[그림 2] OpenSSL 취약점(HeartBleed) 대응 방안 권고 사항 (출처 : KISA 인터넷보호나라 공지사항)

 

 

3. 내부 자산 취약점 정보를 활용한 HeartBleed 공격 탐지 설정 

 

1) 오브젝트 설정

 

관리 > 설정 관리 > 오브젝트 관리 > 기본 정의 항목(조건입력) > 생성/수정

 

[조건]

① sublog : 보안장비 허용/ 탐지 이벤트  

② d_ip : Smart[Guard]에서 탐지한 내부자산정보의 소프트웨어 결과가 OpenSSL 취약점 대상의 목적지 IP(내부자산)로 접근하는 IP 

  

  

[그림 3] 오브젝트정의

 

 

2) 단일경보 설정

 

관리 > 설정 관리 > 단일경보관리 > 룰 등록 > 룰 이름, 위험도, 발생주기, 발생 건수, 로그소스, 조건정의 입력 

 

 

[그림 4] 탐지 룰 설정

 

 

3) 탐지 결과

 

보안관제 > 상관분석 > 실시간 경보 확인

IPS/TMS/WAF 탐지 이력 중 목적지가 OpenSSL 취약점에 의한 HeatBleed 공격이 가능한 내부 자산일 경우 경보 발생

  

 

[그림 5] 탐지 내역 결과 

 

 

4. SMB 취약점(MS17-010) 위협 탐지 

 

1) 취약점 개요

 

SMB(Server Message Block)은 Windows가 설치된 시스템에서 공유, 프린터 공유, 원격 윈도우 서비스 액세스 등 광범위한 목적으로 사용되는 전송 프로토롤이다. 

 

 

2) 취약점 공격 형태

 

2017년 5월 12일 워너크라이 랜섬웨어(WannaCry ransomware) 공격의 일부로 사용되었으며, 취약성을 악용해 윈도우 시스템을 침해한 후 멀웨어를 로드하고 네트워크 상에 존재하는 다른 시스템들까지 감염시킨 이력이 있다. 이러한 공격에서는 멀웨어 유포에 SMB버전1과 TCP 포트 445가 사용되었다.

ㆍ windows 2000, XP : TCP 445

ㆍ windows 95, 98, Me, NT : TCP 137,139 / UDP 138

 

 

[그림 6] 웜 형식의 감염 방식 (출처 : 한국 랜섬웨어 침해대응센터)

 

 

5. 내부 자산 취약점 정보를 활용한 SMB 공격 탐지 설정 

 

1) 오브젝트 설정

 

관리 > 설정 관리 > 오브젝트 관리 > 기본 정의 항목(조건입력) > 생성/수정

 

[조건]

① sublog : 보안장비 허용 (Accept)

② s_ip : CTI에서 수집한 Blacklist IP (등록일 기준 3개월)

 gm [select ip as s_ip from is_blacklist_ip where to_date(valid_date, 'yyyy/MM/dd') >= sysdate-90] s_ip​ 

 

③ d_ip : Smart[Guard]에서 탐지한 내부자산정보의 진달 결과가 Windows이며, 해당 버전이 오래된 서버 IP (Windows 95, 98, Me, NT, 2000, XP)

gm [select ip_address as d_ip from sg_diagnosis_main_list where 

sw_nm='Windows' and (lower(sw_info) like lower('%95%') or lower(sw_info) 

like lower('%98%') or lower(sw_info) like lower('%me%') or lower(sw_info) like 

lower('%nt%') or lower(sw_info) like lower('%2000%') or lower(sw_info) like 

lower('%xp%'))] d_ip ​

 

 

 

[그림 7] 오브젝트정의

 

 

2) 단일경보 설정

 

관리 > 설정 관리 > 단일경보관리 > 룰 등록 > 룰 이름, 위험도, 발생주기, 발생 건수, 로그소스, 조건정의, 포함조건 입력

 

[탐지조건]

① 로그소스 : Firewall 로그 유형 선택

 

 

 

② 포함조건 : TCP(137, 139, 445) / UDP(138)

 

  

[그림 8] 탐지 룰 설정

 

 

3) 탐지 결과

 

보안관제 > 상관분석 > 실시간 경보 확인

 

[탐지조건]

FW 탐지 이력 중 출발지가 Blacklist IP이며, 목적지가 Windows 취약 서버 SMB Port로 접근한 경우 경보 발생

 

 

 [그림 9] 탐지 룰 상세 분석

 

 

6. 그 외 탐지 활용 방안 (네트워크 취약점 스캐닝 공격)

 

1) 취약점 개요

 

네트워크 취약점 스캔 공격은 원격지에서 다수의 시스템에 대해 자체 버그, 구성상의 문제점 등 해킹 가능한 시스템상의 보안 취약점을 알아내고자 하는 공격으로 가장 빈번하게 나타난다. 이번 장에서는 스캔 공격의 가장 단순한 형태인 IP scan과 Port scan의 공격 탐지 방법에 대해 알아보자.

 

2) 취약점 공격 형태

 

​ㆍ ​IP scan : 해킹을 시도하기 위한 사전단계로 특정 기관에서 사용하는 네트워크 대역과 시스템에 대한 정보를 수집하는 방법. Ping 기능을 사용했을 때 돌아오는 TTL값으로 공격 대상이 사용하는 OS정보를 획득.

​ㆍ ​Port sacn : 목적지 대상에 해킹하기 위해 TCP/IP의 어떤 포트를 Open하여 서비스를 하는지 알아내기 위한 방법으로 포트번호 0번부터 65,535번 포트까지 순차적 또는 무순위로 SYN을 보내어 서버가 응답하는 SYN/ACK을 확인하는 방법.

 

  

 

[그림 10] IP Scan 공격 형태

 

 

 

 

[그림 11] Port Scan 공격 방식​ 

 

 

7. 내부 자산 취약점 정보를 활용한 Scan 공격 탐지 설정 

 

1) IP Scan  오브젝트 설정

 

관리 > 설정 관리 > 오브젝트 관리 > 기본 정의 항목 > 오브젝트 그룹 및 이름 설정 > 생성/수정

 

[조건]

① sublog : 보안장비 허용 (Accept)

② s_ip : CTI에서 수집한 Blacklist IP (등록일 기준 3개월)

③ d_ip : Smart[Guard]에서 탐지한 내부자산정보의 진달 결과가 취약한 서버 IP

 

 

[그림 12] IP Scan 오브젝트 정의

 

 

2) Port Scan 오브젝트 설정

 

관리 > 설정 관리 > 오브젝트 관리 > 기본 정의 항목 > 오브젝트 그룹 및 이름 설정 > 생성/수정

 

[조건]

① sublog : 보안장비 허용 (Accept)

② s_ip : CTI에서 수집한 Blacklist IP (등록일 기준 3개월)

③ d_port : Smart[Guard]에서 탐지한 내부자산정보의 소프트웨어정보 중 타입이 PORTTCP4이며, 해당 서버에서 사용 중인 Port

 

 

[그림 13] Port Scan 오브젝트 정의

 


3) 단일경보 설정

 

관리 > 설정 관리 > 단일경보관리 > 룰 등록 > 룰 이름, 위험도, 발생주기, 발생 건수, 로그소스, 조건정의, 포함조건 입력

 

[조건]

① IP scan 탐지 룰 

- 로그소스 : Firewall 로그 유형 선택

- 발생 건수 : d_ip>=5 (목적지 IP 종류 5가지 이상)

- 동일 조건 : s_ip (출발지 IP)

② Port scan 탐지 룰 

- 로그소스 : Firewall 로그 유형 선택

- 발생 건수 : d_port>=5 (목적지 port 종류 5가지 이상)

- 동일 조건 : s_ip, d_ip (출발지 IP, 목적지 IP)

 

 

 [그림 14] 단일 룰 설정

 

 

4) IP Scan 탐지 결과 

 

보안관제 > 상관분석 > 실시간 경보 확인

 

 

[그림 15] IP Scan 단일 경보 발생

 

 

 

[그림 16] IP Scan 단일 경보 상세

 

 

 

[그림 17] ​Smart[Guard] 내부자산정보의 진단결과가 취약한 서버 목록 (IP Scan)

 

 

5) Port Scan 탐지 결과 

 

보안관제 > 상관분석 > 실시간 경보 확인

 

 

[그림 18] Port Scan 단일 경보 발생

 

 

 

[그림 19] Port Scan 단일 경보 상세​

 

 

 

[그림 20] Smart[Guard] 소프트웨어정보 중 사용 Port 목록 (Port Scan)

 

 

7. 결론

 

지금까지 취약점을 활용한 다양한 공격 시나리오와 이에 대응하는 탐지방법에 대해 알아보았다. 공격자는 시스템의 취약점을 활용하여 내부 자산에 접근하기 위해 끊임없이 노력하기에 우리의 정보자산은 늘 위협에 노출되어 있다. 관리자가 보안정책을 충실히 잘 따르고, 보안시스템을 완벽히 구축하는 등의 준비가 철저하여도 100% 완벽한 보안은 없을 것이다. 

피해를 최소하기 위해 무엇보다 중요한 것은 빠른 대처와 판단이기에 보안 담당자의 손발이 되어주는 보안 솔루션은 무엇보다 중요하다. 그런 취지에서 SIEM 기반의 SPiDER TM V5.0과 Smart[Guard]의 내부자산정보를 함께 활용한다면 큰 도움이 될 것이다.

 

지난 6월 월간보안동향 SIEM Guide에서 다뤘던 [CTI & 취약점 진단 결과를 활용한 사이버공격 예방 및 탐지 자동화]를 참고해 SIEM 기반 SPiDER TM V5.0과 취약점진단솔루션인 Smart[Guard]를 활용하였을 때의 시너지 효과는 아래와 같다. 

 

SPiDER TM V5.0 & Smart[Guard] 간의 시너지 효과​ 

① 취약점 점검 진단 결과를 활용한 이벤트는 실제 대상 시스템의 보안 환경정보를 분석해 얻은 결과를 기반으로 하기 때문에 매우 높은 신뢰성이 있으며, 이를 보안관제 등에 활용할 경우 실제 피해를 발생시킬 우려가 있는 위험도 높은 공격을 탐지하고 조치할 수 있을 것으로 기대

 

② 보안관제요원이 분석해야 할 보안이벤트의 양을 최소화함으로써 관제요원의 업무 능력 또한 극대화 기대

 

③ 취약점 점검 결과는 시스템의 실제 보안수준을 가늠할 수 있어서 매우 중요한 정보이며, 최신 정보를 지속적으로 유지할 수 있음

 

④ 최신 위협에 대응하는 선제적 예방 지능을 확보한 글로벌 위협DB와 취약점진단결과의 정보를 연계한다면 신속・정확한 의사결정 근거를 제공하고 보안을 한 단계 강화 시킬수 있을 것으로 기대​