보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
SIEM 5.0을 활용한 비인가 접근 탐지 및 대응
2016.08.02
7,557
보안관제사업본부 보안분석팀 김지우
1. 개요
이번 달 SIEM Guide에서는 최근 러시아계 사이버암시장 ‘엑스데딕(Xdedic)’이나 북한의 해킹조직에서 원격 데스크톱 프로토콜(RDP)을 이용한 정황이 확인됨에 따라 이와 같은 비인가 접근을 SIEM 5.0을 통해 탐지 및 대응 할 수 있는 방법에 대해 기술하고자 한다.
2. 탐지 포인트
비인가 접근 시도는 방화벽과 같은 보안시스템이 있을 경우 쉽게 탐지가 가능하고 이를 통해 접근을 차단하거나 제어할 수 있다. IDS/IPS 역시 비인가 접근시도를 탐지할 수 있으나 한번의 접근시도를 탐지하는 용도가 아닌 Brute-Force와 같이 반복적인 접근 시도가 이루어졌을 때나 Exploit 공격이 들어왔을 때 방어하는 용도로 사용된다.
[그림 3-1] 보안시스템 별 탐지 가능 여부
1) 보안시스템 별 탐지 패턴
• 방화벽은 포트 접근제어를 통해 차단을 수행하며 IPS는 기존에 등록된 패턴정보로 탐지가 가능하다.
제조사 | 장비명 | 탐지패턴 명 |
시큐아이 | Secui MFI | RDP Login Brute Force Attempt(count 15, seconds 10) |
2) 사용자정의 탐지 패턴(Snort)
alert tcp $EXTERNAL_NET any -> $HOME_NET 3389 (msg:"RDP connection request"; flow: to_server,established; content:"|03|"; offset: 0; depth: 1; content:"|E0|"; offset: 5; depth: 1; classtype:misc-activity; sid:250000;) |
3) 보안시스템(Snort , IPS) 탐지 예시
[그림 3-2] IPS 사용자 정의 시그니쳐(Snort) 설정을 통한 탐지
[그림 3-3] Brute-Force 공격 시 IPS의 기존 정책을 통한 탐지
3. SIEM 설정
1) 오브젝트 생성 및 등록
단일경보 및 상관분석을 설정하기에 앞서 각 보안시스템의 탐지패턴 정보를 오브젝트로 등록한다.
※ 자세한 오브젝트 설정법은 SIEM Guide 5, 6월호를 참고
① 오브젝트에 추가하려는 필드를 체크
② 필드 : d_port
③ 연산자 : =
④ 값 : 3389
[그림 3-4] SIEM 5.0 오브젝트 설정 - 방화벽
① 오브젝트에 추가하려는 필드를 체크
② 필드 : method
③ 연산자 : like
④ 값 : %RDP Login Brute Force Attempt% (Secui MFI 일 경우)
[그림 3-5] SIEM 5.0 오브젝트 설정 - IPS
위의 절차를 통해 오브젝트 등록이 정상적으로 이루어지면 아래와 같은 메시지가 발생한다.
[그림 3-6] 오브젝트 등록 완료
2) 단일경보 생성
단일경보는 그 하나의 경보로 사용하거나 상관분석을 통해 2개 이상의 단일경보를 묶어서 사용할 수 있다.
① 설정관리 > 단일경보관리 > “룰 등록” 버튼을 클릭
② 기본정보(룰 이름, 신뢰도, 발생주기, 발생건수) 입력
③ 해당 룰을 적용할 Agent 선택
④ 조건정의 - 앞에서 각 보안시스템의 탐지패턴을 등록한 오브젝트를 선택 추가
⑤ 저장 버튼 클릭
[그림 3-7] 단일정책 설정 및 등록
[그림 3-8] 단일정책 등록시 화면
3) 상관분석 생성
상관분석은 2개 이상의 단일경보를 탐지되는 순서로 승계레벨로 설정하여 연관성을 확인할 수 있다.
① 설정관리 > 단일경보관리 > “상관분석등록” 버튼을 클릭하고 등록할 단일경보를 선택
※ 먼저 상관분석을 등록할 그룹을 생성해야 함
② “=>” 버튼을 클릭
③ 상관분석 이름을 설정하고 등록할 그룹을 선택
④ 탐지되는 순서대로 승계 레벨을 설정
⑤ 승계할 정보를 입력(아래의 값은 전 단계에서 탐지한 출발지 IP 통일하게 보도록 설정)
[그림 3-9] 상관분석 설정 및 등록
4) 상관분석 정책 활성화
상관분석 정책을 활성화 하기 위해서 아래에 표시된 마크를 클릭한다. (회색 : 비활성화, 파란색 : 활성화)
[그림 3-10] 상관분석 정책 활성화
상관분석 정책이 활성화되면 아래와 같은 메시지가 발생한다.
[그림 3-11] 상관분석 정책 활성화 완료
4. 취약점 공격 시도 및 탐지
오브젝트 설정, 단일경보 등록, 상관분석 정책설정까지 이루어진 상태에서 취약점 점검도구를 이용해 공격을 시도하였다.
[그림 3-12] 취약점 점검도구를 이용한 공격시도
그 결과 상관분석에서 2레벨 단계까지 정상적으로 탐지가 가능함을 확인할 수 있다.
[그림 3-13] 상관분석을 통한 탐지 확인