보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
ESM을 활용한 원격 접속 파일 유출 탐지
2015.11.20
10,484
이글루시큐리티 ESM은 이벤트 선별 기능, 통합 실시간 모니터링 기능, 보고서 생성 기능 등을 통해 보안담당자의 모니터링 및 보고서 업무를 상당 부분 감소시키고 보안담당자 본연의 업무인 보안기획 및 보안정책 수립에 집중하도록 지원한다.
보안관제사업본부 보안분석팀 장태용
1. 개요
이번 달 ESM Guide에서는 윈도우 감사 설정과 Event ID 값을 ESM 연관성 경보에 등록하여 외부 침입자가 원격 접속 후 파일을 유출하는 과정에 대해 탐지하는 방법을 알아보도록 합니다.
2. 공격 시나리오
① Windows 시스템에 대한 계정 정보 Brute Force Attack
② 취약한 계정에 대해 로그인 성공
③ 중요 파일 접근 및 유출
④ 백도어(프로세스) 실행
⑤ 공격자 로그 오프
[그림 1] 서버 원격 접속 파일 유출 시나리오
3. 시스템 감사 설정 및 ESM 연관성 분석 등록
1) 윈도우 보안 감사 설정
• ESM 에이전트가 설치 된 윈도우 서버에서 감사 설정을 합니다.
- 시작 ⇨ 관리도구 ⇨ 로컬보안정책 ⇨ 로컬 정책 ⇨ 감사 정책 ⇨ 개체 엑세스 검사 ⇨ 성공 설정
[그림 2] 개체 엑세스 감사 설정
2) 중요 폴더 보안 감사 설정
• 중요 폴더의 감사 설정을 통해 파일 이벤트 로그를 기록하도록 합니다.
① 중요 폴더 선택 ⇨ 우클릭 ⇨ 속성 ⇨ 보안 ⇨ 고급
② 고급 보안 설정 ⇨ 추가 ⇨ 사용자 검색 ⇨ 선택
③ 사용자 감사 항목 ⇨ 성공(실행, 읽기) 선택
[그림 3] 중요 폴더 감사 설정
3) Agent 환경 설정 변경
• module.conf 파일에 기본 설정된 syslog의 EVENT 타입을 “ATTACK” 으로 변경합니다.
[그림 4] module.conf 파일
• 성공적으로 변경되면 아래와 같이 출발지 포트에 Event ID가 출력 됩니다.
[그림 5] Event ID 수집 형식 변경
4) ESM 연관성 분석 등록
• 이벤트 ID 값의 경우 윈도우 버전에 따라 3자리, 4자리로 표시 됩니다. 특정 이벤트 ID 값들을 연관성 분석에 등록하여 어떠한 공격이 일어 났는지 확인 할 수 있습니다.
[표 1] 윈도우 파일 제어 응답 코드
연관성 분석 ⇨ 공통 ⇨ 종류 ⇨ 포함 ⇨ Port 자리에 Event ID 입력 |
[그림 6] 연관성 분석 탐지 설정
① Brute Force Attack 탐지
• ESM 연관성 분석에서 로그인 실패 Event ID(4625)를 등록 합니다.
② Brute Force Attack 성공 후 로그인 탐지
• ESM 연관성 분석에서 로그온 Event ID(4648)를 등록 합니다.
③ 중요 자료 유출 탐지
• ESM 연관성 분석에서 파일 및 디렉터리 읽기 Event ID(4416)를 등록 합니다.
④ 백도어(프로세스) 실행 탐지
• ESM 연관성 분석 ⇨ 이벤트 ⇨ 무결성 ⇨ 모두 체크 합니다.
⑤ 로그오프 탐지
• ESM 연관성 분석에서 로그온 Event ID(4647)를 등록 합니다.
4. 시나리오 단계별 ESM 탐지 결과
- 감사 설정과 ESM 연관성 경보 설정으로 시나리오 단계별 탐지 결과를 확인 할 수 있습니다.
① Brute Force Attack
[그림 7] 로그인 실패 Event ID 탐지
② Brute Force Attack 성공 후 로그인 탐지
[그림 8] 로그온 Event ID 탐지
③ 중요 자료 유출 탐지
• 파일 및 디렉터리 접근, 복사 등에서 기록되는 4416 Event ID 등을 통해 짧은 시간에 대량의 자료가 유출되고 있음을 확인 할 수 있습니다.
[그림 9] 파일 및 디렉터리 읽기 Event ID 탐지
④ 백도어(프로세스) 실행 탐지
• ESM 연관성 분석 무결성 탐지를 통해 프로세스의 실행 탐지가 가능합니다.
파일 유출 후 공격자가 지속적인 접근을 위해 백도어를 실행 할 수 있습니다.
[그림 10] 프로세스 실행 탐지
⑤ 로그오프 탐지
[그림 11] 로그오프 Event ID 탐지