보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
SIEM 5.0 을 활용한 Struts2 취약점(CVE-2016-3081) 탐지 및 대응
2016.06.01
6,776
보안관제사업본부 보안분석팀 김지우
1. 개요
이번 달 SIEM Guide에서는 Struts2 취약점(S02-032, CVE-2016-3081)을 SIEM 5.0을 통해 탐지 및 대응 할 수 있는 방법에 대해 기술하고자 한다.
2. 탐지 포인트
Struts2 취약점(S02-032, CVE-2016-3081)은 발생 지점이 DMI(Dynamic Method Invocation)이라는 것만 다를 뿐 이전 Struts2 취약점들의 공격구문과 유사한 점을 보이고 있기 때문에 보안시스템에 적용되어 있는 기존 패턴으로 탐지가 가능함을 확인하였다. 해당 취약점의 탐지 포인트는 WAF, IDS/IPS, Server 이지만 Server에서는 GET Method로 기록되는 Weblog로만 공격여부 확인이 가능하다는 걸 고려해야 한다.
[그림 1] 보안시스템 별 탐지 가능 여부
1) 보안시스템 별 탐지 패턴
• 기존에 IPS, Web F/W에 등록된 패턴정보로 탐지가 가능하다.
제조사 |
장비명 |
탐지패턴명 |
|||||||
모니터랩 |
Web Insight |
Apache Struts Framework Vulnerability |
|||||||
윈스테크넷 |
Sniper IPS 8.0 |
Apache Struts2 ParametersInterceptor Remote Command Exe-3 |
|||||||
Apache Struts2 Cookie Interceptor Remote Code Execution.A | |||||||||
Snort |
- |
ET EXPLOIT Apache Struts Possible OGNL Java Exec In URI |
2) 보안시스템(Snort , Web F/W) 탐지 예시
[그림 2] Snort 패턴(Emerging Threats.net)을 통한 탐지
[그림 3] Web F/W의 기존 정책을 통한 탐지
3. SIEM 설정
1) 오브젝트 생성 및 등록
단일경보 및 상관분석을 설정하기에 앞서 각 보안시스템의 탐지패턴 정보를 오브젝트로 등록한다.
①설정관리 > 오브젝트 관리 항목 선택
②기존의 그룹이 없을 경우 “Object”에서 오른쪽 버튼을 클릭 후 “그룹생성” 선택
③생성한 그룹을 선택
④“기본 템플릿“에서 해당 시스템에 맞는 로그 유형 또는 파서 유형을 선택
※ 파서는 각 시스템의 로그형태를 SIEM에서 가공 또는 분석하기 용이하도록 미리 정리해 놓은 걸 말함
[그림 4] SIEM 5.0 오브젝트 설정 - 1
⑤필드 중 “Method” 선택
※ 보통 탐지패턴은 Method 필드로 파싱되나 정확하게 설정하려면 각 장비의 로그유형을 확인해야 함
⑥연산자 선택
⑦값(탐지패턴 명) 입력
⑧“+” 버튼을 클릭하여 내용 등록
⑨추가하려는 정보를 체크
⑩등록할 오브젝트 그룹과 이름을 설정 후 “생성/수정” 클릭
[그림 5] SIEM 5.0 오브젝트 설정 - 2
위의 절차를 통해 오브젝트 등록이 정상적으로 이루어지면 아래와 같은 메시지가 발생한다.
[그림 6] 오브젝트 등록 완료
2) 단일경보 생성
단일경보는 그 하나의 경보로 사용하거나 상관분석을 통해 2개 이상의 단일경보를 묶어서 사용할 수 있다.
①설정관리 > 단일경보관리 > “룰 등록” 버튼을 클릭
②기본정보(룰 이름, 신뢰도, 발생주기, 발생건수) 입력
③해당 룰을 적용할 Agent 선택
④조건정의 - 앞에서 각 보안시스템의 탐지패턴을 등록한 오브젝트를 선택 추가
⑤저장 버튼 클릭
[그림 7] 단일정책 설정 및 등록
3) 상관분석 생성
상관분석은 2개 이상의 단일경보를 탐지되는 순서로 승계레벨로 설정하여 연관성을 확인할 수 있다.
①설정관리 > 단일경보관리 > “상관분석등록” 버튼을 클릭하고 등록할 단일경보를 선택
※ 먼저 상관분석을 등록할 그룹을 생성해야 함
②“=>” 버튼을 클릭
③상관분석 이름을 설정하고 등록할 그룹을 선택
④탐지되는 순서대로 승계 레벨을 설정
※ 테스트 환경에서는 IDS가 소프트웨어 방식으로 동작함으로 WAF 보다 늦게 탐지됨
⑤승계할 정보를 입력(아래의 값은 전 단계에서 탐지한 출발지 IP 통일하게 보도록 설정)
⑥상관분석 등록
[그림 8] 상관분석 설정 및 등록
4) 상관분석 정책 활성화
상관분석 정책을 활성화 하기 위해서 아래에 표시된 마크를 클릭한다. (회색 : 비활성화, 파란색 : 활성화)
[그림 9] 상관분석 정책 활성화
상관분석 정책이 활성화되면 아래와 같은 메시지가 발생한다.
[그림 10] 상관분석 정책 활성화 완료
4. 취약점 공격 시도 및 탐지
오브젝트 설정, 단일경보 등록, 상관분석 정책설정까지 이루어진 상태에서 취약점 점검도구를 이용해 공격을 시도하였다.
[그림 11] 취약점 점검도구를 이용한 공격시도
그 결과 상관분석에서 2레벨 단계까지 정상적으로 탐지가 가능함을 확인하였다.
[그림 12] 상관분석을 통한 탐지 확인