보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
상관분석을 활용한 Ficker Stealer 악성코드 탐지 및 분석
2022.01.05
1,805
SPiDER TM V5.0은 이글루시큐리티 보안 관제 경험과 빅테이터 활용 역량이 집약된 통합보안관리 솔루션으로 최초 탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제 환경 구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.
01. 개요
최근 정보화가 고도화됨에 따라 다운로더, 랜섬웨어, DDos 정보유출 등 다양한 유형의 악성코드가 유행하고 악성URL(경유지, 유포지) 또한 대폭 증가하면서 이제는 단순히 사이버 공격을 탐지하는 수준에서 벗어나 다방면의 탐지 및 분석 등 넓은 의미의 보안관제 활동을 요구하게 된다.
SPiDER-TM에서 제공하는 상관분석 기능을 활용하면 여러 장비의 상관관계 분석을 통해 악성코드를 탐지하고 분석할 수 있다.
이번 가이드에서는 Ficker Stealer 라는 악성코드에 대해 단계별로 위협상황을 세부적으로 파악할 수 있는 시나리오 기반의 상관분석 탐지 방법과 탐지된 로그를 분석하는 방법에 대해 알아보자.
02. 악성코드 탐지 시나리오
1) Ficker Stealer 악성코드 특징
· 감염된 PC를 통한 암호화된 개인정보 탈취
· 로그인 자격증명(Credential) 탈취
· 페이로드 다운로드 기능
· 로컬 정보 확인 시 동구권 국가인 경우 프로그램 종료(러시아, 우즈베키스탄, 우크라이나 등)
[그림 1] 탐지&감염 시나리오
2) 감염 시나리오
공격자는 다양한 방법으로 악성코드를 유포하고, 사용자가 광고나 필요한 파일을 다운받기 위해 URL을 클릭하면 악성코드 유포하는 위장된 사이트로 넘어가게 된다. 이때 사용자가 위장된 사이트에서 파일을 설치하거나 실행시키면 정상 프로그램과 함께 계정정보를 탈취하는 악성코드가 설치된다. 감염될 경우 탈취한 개인정보를 활용하여 유포 및 협박 등 금전적인 손해를 입을 가능성이 높아지며 2차, 3차로 다른 사용자들에게 피싱 공격 등 추가적인 피해를 줄 수 있다.
3) 탐지 시나리오
· [1단계 FW] 내부사용자 해외 IP 접근
· [2단계 FW] 1MB 이상 데이터 다운로드
· [3단계 IPS] IPS Ficker Stealer 악성코드 탐지
가장 먼저 내부사용자 중 해외 IP로 접근하는 사용자를 탐지하고, 그중에서도 단순 접속이 아닌 데이터 다운로드를 하는 사용자를 판별한다. 2단계까지 넘어온 사용자들 중 공격 필드에 해당 패턴이(Ficker Stealer) 탐지된다면 상관분석 경보가 발생하게 된다.
이렇게 단계별로 세분화하여 탐지정책을 걸 경우 보다 더 신속하고 명확하게 침해사고를 파악하여 대응할 수 있으며 패턴만 알고 있다면 다양한 이상 위협 행위들을 탐지할 수 있다.
03. 단일경보와 상관분석 설정
1) 단일경보 룰 설정과 오브젝트 등록
단일 룰을 설정할 때는 해당하는 공격 유형과 트래픽 양을 고려하여 발생건수와 발생주기를 설정하고, 설정하고자 하는 조건에 오브젝트를 등록하여 특정 조건에 따라 경보를 발생시킬 수 있다. 필요에 따라 차단하면 안 되는 IP가 있는 경우엔 제외조건에 넣으면 된다. 동일조건은 특정 기준으로 탐지를 구분할 때 사용하며 이번 가이드에서는 보안장비(origin), 공격자 IP(s_ip) 별로 탐지를 하였다.
[그림 2] 단일경보 설정
[그림 3] 1단계 경보 조건정의 및 오브젝트 등록
[그림 4] 2단계 경보 조건정의 및 오브젝트 등록
[그림 5] 3단계 경보 조건정의 및 오브젝트 등록
2) 상관분석 등록
단일 경보설정을 마치면 경보 활성화를 시킨 뒤 상관분석 등록을 하면 된다. 상관분석 등록을 위해 먼저 그룹 등록을 설정하고 그룹ID를 지정한다. 그룹 ID는 그룹별로 중복되지 않게 설정해주면 된다.
[그림 6] 상관분석 등록
3) 상관분석 패턴
상관분석을 위한 패턴 방법에 대해 알아보자. 상관분석에 사용되는 경보 룰은 활성화 상태인 실시간 단일경보 룰을 대상으로 하며 아래와 같이 일정한 패턴과 연산자 별로 우선순위를 갖는다.
[그림 7] 상관분석 패턴
1 |
2 |
3 |
4 |
5 |
WITHIN |
every |
and |
or |
-> |
[표 1] 상관분석 연산자 우선순위
4) 상관분석 설정
다음은 이번 호에서 설정한 상관분석 설정화면이다. 총 3단계로 필자는 a, b, c 라고 별칭을 주었다. 맨 처음 반복을 제어하는 every 연산자를 활용하여 해당 연산자 뒤에 나오는 단일경보(a)가 발생할 때마다 패턴이 실행되도록 설정하였고 -> 연산자를 활용하여 단일경보의 탐지순서를 지정했다. 추가로 룰 마다 승계조건을 걸어 두어 (a)출발지 IP가 (b)출발지 IP와 같으면 승계되도록 설정하여 악성코드를 탐지할 수 있게 하였다. WITHIN을 사용하면 탐지 시간 설정이 가능하며 필자는 1분으로 설정하였다.
참고로 승계조건은 (s_ip, s_port, d_ip, d_port, mgr_ip )만 가능하다.
[그림 8] Ficker Stealer 탐지를 위한 설정
04. 상관분석 탐지결과 상세분석
1) 실시간 탐지 결과 상세분석
[그림 9] 실시간 탐지 결과 및 상세분석
위와 같이 보안관제 상관분석 탭을 통해 실시간 경보 현황을 볼 수 있다. 해당 화면에서는 경보의 건수와 지속시간을 확인할 수 있으며 앞장에서 설정한 s_ip 승계 조건에 따라 출발지 IP가 일치하는 것도 확인할 수 있다.
탐지된 상관분석 룰을 클릭하여 상세분석 탭으로 넘어오면 세부적으로 탐지 된 단일 경보 룰을 확인할 수 있으며 추가로 현재 탐지된 상관분석 룰에 대한 발생 추이를 제공한다. 따라서 어떤 사용자를 통해 경보가 자주 발생하였는지 내부사용자의 이상 행위 탐지도 파악할 수 있다. 뿐만 아니라 출발지 IP통계분석, 목적지 IP 통계분석 등 다양한 통계분석을 통해 보다 심층적으로 로그를 분석할 수 있다.
05. 결론
여기까지 단일경보부터 상관분석까지의 설정과 탐지된 경보의 실시간 분석방법에 대해 알아보았다. 상관분석을 활용하면 이기종 장비에서 탐지되는 공격행위의 상관관계를 통한 분석을 할 수 있으며, 단편적 정보를 사용하는 기존 단일 분석보다 복합 정보를 통하여 공격의 행위를 복합적으로 검증할 수 있다.
보안 기술들이 발전하는 만큼 사이버공격 또한 꾸준히 정교해지며 다양한 악성코드 종류와 유포지 또한 늘어나고 있다. 따라서 악성코드를 예방하기 위해서는 사용하고 있는 윈도우나 백신 제품의 보안 업데이트를 최신으로 유지하고 출처가 불분명한 URL 클릭이나 파일 다운로드는 하지 않는 기본적인 보안수칙 준수하는 보안습관을 익혀야 한다.
갈수록 진화하는 공격에 대한 최고의 방어는 끊임 없는 사용자들의 관심이 아닐까 싶다.