보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

SIEM 5.0을 활용한 비인가 접근 탐지 및 대응

2016.08.02

6,923

보안관제사업본부 보안분석팀 김지우

 


1.  개요

 

이번 달 SIEM Guide에서는 최근 러시아계 사이버암시장 ‘엑스데딕(Xdedic)’이나 북한의 해킹조직에서 원격 데스크톱 프로토콜(RDP)을 이용한 정황이 확인됨에 따라 이와 같은 비인가 접근을 SIEM 5.0을 통해 탐지 및 대응 할 수 있는 방법에 대해 기술하고자 한다.

 


2. 탐지 포인트

 

비인가 접근 시도는 방화벽과 같은 보안시스템이 있을 경우 쉽게 탐지가 가능하고 이를 통해 접근을 차단하거나 제어할 수 있다. IDS/IPS 역시 비인가 접근시도를 탐지할 수 있으나 한번의 접근시도를 탐지하는 용도가 아닌 Brute-Force와 같이 반복적인 접근 시도가 이루어졌을 때나 Exploit 공격이 들어왔을 때 방어하는 용도로 사용된다.

 

 

[그림 3-1] 보안시스템 별 탐지 가능 여부

 


1) 보안시스템 별 탐지 패턴

 

• 방화벽은 포트 접근제어를 통해 차단을 수행하며 IPS는 기존에 등록된 패턴정보로 탐지가 가능하다.

 

제조사

장비명

탐지패턴 명 

 시큐아이

 Secui MFI

 RDP Login Brute Force Attempt(count 15, seconds 10)

 


2) 사용자정의 탐지 패턴(Snort)

 

 alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"RDP connection request"; flow: to_server,established; content:"|03|"; offset: 0; depth: 1; content:"|E0|"; offset: 5; depth: 1; classtype:misc-activity; sid:250000;) 

 


3) 보안시스템(Snort , IPS) 탐지 예시



 

[그림 3-2] IPS 사용자 정의 시그니쳐(Snort) 설정을 통한 탐지

 

 

[그림 3-3] Brute-Force 공격 시 IPS의 기존 정책을 통한 탐지

 

 

3. SIEM 설정


1) 오브젝트 생성 및 등록


단일경보 및 상관분석을 설정하기에 앞서 각 보안시스템의 탐지패턴 정보를 오브젝트로 등록한다.
※ 자세한 오브젝트 설정법은 SIEM Guide 5, 6월호를 참고

 

① 오브젝트에 추가하려는 필드를 체크
② 필드 : d_port
③ 연산자 : =
④ 값 : 3389

 



[그림 3-4] SIEM 5.0 오브젝트 설정 - 방화벽


① 오브젝트에 추가하려는 필드를 체크
② 필드 : method
③ 연산자 : like
④ 값 : %RDP Login Brute Force Attempt% (Secui MFI 일 경우)

 

 

[그림 3-5] SIEM 5.0 오브젝트 설정 - IPS

 

위의 절차를 통해 오브젝트 등록이 정상적으로 이루어지면 아래와 같은 메시지가 발생한다.

 

 

 

[그림 3-6] 오브젝트 등록 완료

 


2) 단일경보 생성


단일경보는 그 하나의 경보로 사용하거나 상관분석을 통해 2개 이상의 단일경보를 묶어서 사용할 수 있다.

 

① 설정관리 > 단일경보관리 > “룰 등록” 버튼을 클릭
② 기본정보(룰 이름, 신뢰도, 발생주기, 발생건수) 입력
③ 해당 룰을 적용할 Agent 선택
④ 조건정의 - 앞에서 각 보안시스템의 탐지패턴을 등록한 오브젝트를 선택 추가
⑤ 저장 버튼 클릭

 

 

 

[그림 3-7] 단일정책 설정 및 등록

 


[그림 3-8] 단일정책 등록시 화면

 

 

3) 상관분석 생성


상관분석은 2개 이상의 단일경보를 탐지되는 순서로 승계레벨로 설정하여 연관성을 확인할 수 있다.

 

① 설정관리 > 단일경보관리 > “상관분석등록” 버튼을 클릭하고 등록할 단일경보를 선택
※ 먼저 상관분석을 등록할 그룹을 생성해야 함
② “=>” 버튼을 클릭
③ 상관분석 이름을 설정하고 등록할 그룹을 선택
④ 탐지되는 순서대로 승계 레벨을 설정
⑤ 승계할 정보를 입력(아래의 값은 전 단계에서 탐지한 출발지 IP 통일하게 보도록 설정)

 

 

 

[그림 3-9] 상관분석 설정 및 등록

 


4) 상관분석 정책 활성화


상관분석 정책을 활성화 하기 위해서 아래에 표시된 마크를 클릭한다. (회색 : 비활성화, 파란색 : 활성화)

 

 

 

[그림 3-10] 상관분석 정책 활성화


상관분석 정책이 활성화되면 아래와 같은 메시지가 발생한다.

 


[그림 3-11] 상관분석 정책 활성화 완료

 


4. 취약점 공격 시도 및 탐지


오브젝트 설정, 단일경보 등록, 상관분석 정책설정까지 이루어진 상태에서 취약점 점검도구를 이용해 공격을 시도하였다.

 

 

 

[그림 3-12] 취약점 점검도구를 이용한 공격시도


그 결과 상관분석에서 2레벨 단계까지 정상적으로 탐지가 가능함을 확인할 수 있다.

 


[그림 3-13] 상관분석을 통한 탐지 확인