보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

ESM을 활용한 원격 접속 파일 유출 탐지

2015.11.20

10,100

이글루시큐리티 ESM은 이벤트 선별 기능, 통합 실시간 모니터링 기능, 보고서 생성 기능 등을 통해 보안담당자의 모니터링 및 보고서 업무를 상당 부분 감소시키고 보안담당자 본연의 업무인 보안기획 및 보안정책 수립에 집중하도록 지원한다.


보안관제사업본부 보안분석팀 장태용


1. 개요


이번 달 ESM Guide에서는 윈도우 감사 설정과 Event ID 값을 ESM 연관성 경보에 등록하여 외부 침입자가 원격 접속 후 파일을 유출하는 과정에 대해 탐지하는 방법을 알아보도록 합니다.

 


2. 공격 시나리오


① Windows 시스템에 대한 계정 정보 Brute Force Attack
② 취약한 계정에 대해 로그인 성공
③ 중요 파일 접근 및 유출
④ 백도어(프로세스) 실행
⑤ 공격자 로그 오프

 

 

[그림 1] 서버 원격 접속 파일 유출 시나리오


 

3. 시스템 감사 설정 및 ESM 연관성 분석 등록


1) 윈도우 보안 감사 설정

• ESM 에이전트가 설치 된 윈도우 서버에서 감사 설정을 합니다.
    - 시작 ⇨ 관리도구 ⇨ 로컬보안정책 ⇨ 로컬 정책 ⇨ 감사 정책 ⇨ 개체 엑세스 검사 ⇨ 성공 설정

 

 

[그림 2] 개체 엑세스 감사 설정


 

2) 중요 폴더 보안 감사 설정


• 중요 폴더의 감사 설정을 통해 파일 이벤트 로그를 기록하도록 합니다.


    ① 중요 폴더 선택 ⇨ 우클릭 ⇨ 속성 ⇨ 보안 ⇨ 고급
    ② 고급 보안 설정 ⇨ 추가 ⇨ 사용자 검색 ⇨ 선택
    ③ 사용자 감사 항목 ⇨ 성공(실행, 읽기) 선택

 

 

[그림 3] 중요 폴더 감사 설정


3) Agent 환경 설정 변경


• module.conf 파일에 기본 설정된 syslog의 EVENT 타입을 “ATTACK” 으로 변경합니다.

 

 

[그림 4] module.conf 파일

 

• 성공적으로 변경되면 아래와 같이 출발지 포트에 Event ID가 출력 됩니다.

 

 

[그림 5] Event ID 수집 형식 변경


 

4) ESM 연관성 분석 등록


• 이벤트 ID 값의 경우 윈도우 버전에 따라 3자리, 4자리로 표시 됩니다. 특정 이벤트 ID 값들을 연관성 분석에 등록하여 어떠한 공격이 일어 났는지 확인 할 수 있습니다.

 

[표 1] 윈도우 파일 제어 응답 코드

 

 

 연관성 분석 ⇨ 공통 ⇨ 종류 ⇨ 포함 ⇨ Port 자리에 Event ID 입력

 

 

 

[그림 6] 연관성 분석 탐지 설정


① Brute Force Attack 탐지
• ESM 연관성 분석에서 로그인 실패 Event ID(4625)를 등록 합니다.

 

② Brute Force Attack 성공 후 로그인 탐지
• ESM 연관성 분석에서 로그온 Event ID(4648)를 등록 합니다.

 

③ 중요 자료 유출 탐지
• ESM 연관성 분석에서 파일 및 디렉터리 읽기 Event ID(4416)를 등록 합니다.

 

④ 백도어(프로세스) 실행 탐지
• ESM 연관성 분석 ⇨ 이벤트 ⇨ 무결성 ⇨ 모두 체크 합니다.

 

⑤ 로그오프 탐지
• ESM 연관성 분석에서 로그온 Event ID(4647)를 등록 합니다.

 


4. 시나리오 단계별 ESM 탐지 결과


- 감사 설정과 ESM 연관성 경보 설정으로 시나리오 단계별 탐지 결과를 확인 할 수 있습니다.

 

① Brute Force Attack

 

 

[그림 7] 로그인 실패 Event ID 탐지

 

② Brute Force Attack 성공 후 로그인 탐지

 

 

[그림 8] 로그온 Event ID 탐지

 

③ 중요 자료 유출 탐지

• 파일 및 디렉터리 접근, 복사 등에서 기록되는 4416 Event ID 등을 통해 짧은 시간에 대량의 자료가 유출되고 있음을 확인 할 수 있습니다.

 

 

[그림 9] 파일 및 디렉터리 읽기 Event ID 탐지

 

④ 백도어(프로세스) 실행 탐지
• ESM 연관성 분석 무결성 탐지를 통해 프로세스의 실행 탐지가 가능합니다.
  파일 유출 후 공격자가 지속적인 접근을 위해 백도어를 실행 할 수 있습니다.

 

 

[그림 10] 프로세스 실행 탐지

 

⑤ 로그오프 탐지

 

 

[그림 11] 로그오프 Event ID 탐지