보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM을 활용한 비정상 DNS 요청 탐지

2016.12.07

15,155

보안관제사업본부 보안분석팀 장태용

 

 

이글루시큐리티 SIEM은 이벤트 선별 기능, 통합 실시간 모니터링 기능, 보고서 생성 기능 등을 통해 보안담당자의 모니터링 및 보고서 업무를 상당 부분 감소시키고 보안담당자 본연의 업무인 보안기획 및 보안정책 수립에 집중하도록 지원한다.

 

 

1. 개 요

 

최근 ‘해킹팀’의 자료 유출로 여러 이슈가 발생하고 있는 가운데 이와 관련하여 스파이 업체 ‘다크호텔’ 이 다시 주목 받고 있다. 이들이 주로 호텔 무선랜을 이용하여 APT 공격을 수행하는 만큼 이번 달 SIEM Guide에서는 과거 DNS 체인져 공격과 최근의 무선공유기 DNS 변조 등의 방법을 다시 상기하고 SIEM을 활용하여 사용자의 DNS 요청을 공격자가 의도한 악성 사이트로 유도할 경우에 대해 탐지 할 수 있는 방법에 대해 알아 보도록 하겠다.

 

 

2. 공격 시나리오

 

1) DNS 체인져 감염

 

2012년 7월경 미 연방수사국(FBI)의 DNS 체인저 대응 서버 운영 중단과 관련하여 대규모 인터넷 접속 장애 우려로 이슈가 되었었던 DNS 체인저의 경우 당시 국내에서 예방활동과 적극적인 홍보로 인해 큰 문제없이 지나갈 수 있었다. 하지만 이러한 위험은 2012년 뿐만 아니라 지금에서도 충분히 발생할 수 있다. [그림 1]은 DNS 체인저의 감염부터 파밍까지 공격 시나리오를 그림으로 나타내었다. 번호 순서에 따라 어떻게 공격이 진행되는지 간략히 알아보도록 한다.

  


[그림 1] DNS 체인저 감염 시나리오

 

 

① 사용자가 악성코드 유포지에 접속

 

② 악성코드를 다운로드 하여 실행

 

 

        
 

[그림 2] 악성코드 다운로드 예시

 

③ 악성코드가 DNS 서버 IP를 변조

 

        
 

[그림 3] DNS 서버 IP 변조

 

 

 

④ 변조된 DNS 서버로 DNS 쿼리를 전송

 

⑤ 사용자를 피싱/파밍 사이트로 유도하여 정보 갈취

 

          
 

[그림 4] 금융 파밍 사이트 예시

 

 

2) 공유기 DNS 변조

 

앞서 알아본 DNS 체인져 감염과는 다른 방법으로 DNS를 변조할 수 있는 방법이 최근에 이슈가 되었다. 공유기를 통한 DNS 변조 공격으로 세부적으로 CSRF를 이용한 공격과 Spoofing 공격 방법이 존재하지만 실제 공격 활용도는 CSRF를 통한 공격이 더욱 효과적으로 판단되어 해당 공격에 대한 시나리오를 알아보도록 한다.

 

 

 

 

[그림 5] 공유기 DNS 변조 시나리오

 

 

① 공격자가 CSRF 코드를 포함한 파일을 메일 등으로 전송

 

 

 

[그림 6] CSRF 공격 파일 전송

 

 

② 사용자가 메일을 열람하여 포함된 CSRF 코드가 실행

 

 

 

 

[그림 7] 첨부파일 CSRF 코드 실행

 

 

③ 실행된 코드가 공유기 DNS 설정 변경

 

 

 

[그림 8] 공유기 DNS 서버 IP 변경

 

 

④ 사용자가 변조된 DNS 주소로 DNS 쿼리를 전송

 

⑤ 변조된 DNS 서버에서 사용자를 피싱/파밍 사이트로 유도하여 정보 갈취

 

 

3. SIEM을 활용한 탐지 방안

 

국내에서 DNS 서버로 주로 이용되는 IP 주소는 아래와 같다. 이를 참고하여 SIEM 연관성 정책 예외 IP 에 등록하여 오탐지 하지 않도록 한다. 아래의 IP 외에 내부 DNS 또는 다른 DNS 서버를 이용하는 경우도 존재하기 때문에 이 경우 개별적으로 예외 IP 등록을 통해 연관성 정책을 수정 하도록 한다.

 

서비스 제공자

주 DNS 서버 IP

보조 DNS 서버 IP

KT

168.126.63.1

168.126.63.2

SK

210.220.163.82

219.250.36.130

LG

164.124.107.9

203.248.242.2

Dacom

164.124.101.2

203.248.240.31

Dreamline

210.181.1.24

210.181.4.25

Google

8.8.8.8

8.8.4.4

 

[표 1] DNS 서버 IP 리스트

 

 

1) 연관성 경보 등록

 

① 설정 -> 연관성 분석 -> 공통 탭 -> 종류(포함) 선택 -> [ANY] [ANY] [53] [UDP] 추가 -> 종류(제외) 선택 -> [ANY] [신뢰 DNS IP] [53] [UDP] 추가

 

② 이벤트 탭 -> 네트워크 이벤트 -> Firewall -> 1회

 

 

 

[그림 9] 연관성 분석 정책 생성

 

 

2) 실시간 탐지 경보

 

신뢰 할 수 있는 DNS IP 주소를 제외한 IP 에 대해 연관성 분석 정책을 등록하였다면 DNS 체인져 및 공유기 DNS 변조 공격이 성공했을 때, 사용자의 DNS 서버 질의 과정에서 연관성 정책에 탐지되어 실시간 경보를 확인 할 수 있다. 경보가 발생하였을 경우 실제 사용중인 신뢰 할 수 있는 DNS 서버 IP 인지 확인 후 의심스러운 IP 로의 연결로 확인 될 경우 출발지 IP  시스템의 DNS 변조 여부를 확인할 필요가 있다.

 

 

 

[그림 10] 방화벽 실시간 이벤트

 

 

 

 

[그림 11] 연관성 분석 실시간 경보