(11/13) Threat Hunting을 이용한 능동적인 보안 강화

피해자가 인터넷 서핑을 하다가 또는 이메일에 있는 링크를 잘못 클릭함으로써 Phishing이 되어 malicious dropper site로 리다이렉트가 이루어진다.

이후 피해자는 dropper를 다운로드하게 되고 피해자의 피씨에서 언패킹되고 실행하게 된다.

dropper는 새로운 사이트와 연락할 수 있게 되고 update된 사이트에 CnC 명령어를 보낸다.

피해자의 자세한 정보를 CnC사이트에 업로드되고, CnC 사이트에서는 암호화된 악성코드를 보낸다.

악성코드는 dropper를 통해 복호화되고 인스톨이 이루어진다.

잠긴 악성코드는 또 다른CnC 사이트로 연락하고 암호, 데이터와 같은 것을 암호화된 페이로드로 보낸다.

------------------------------------------------------------------------------------------------------------

기업 내부망에 대한 공격이 증가하고 있다.

그 중 가장 많은 악성코드 종류는 랜섬웨어이다.

------------------------------------------------------------------------------------------------------------

Threat hunting이란 숨어있는 위협을 탐지하여 공격기법과 공격자를 식별하고 제거하는 행위를 말한다.

기존의 방식은 사전에 정의된 탐지 규측과 알고리즘에 의존하였다면, Threat Hunting은 공격행위에 맞춤 대응을 한다는 것이다.

공격을 탐지하는 경우에 대응을 수행한다는 것인데 반대로 말하면 탐지를 못하면 대응 조차 할 수 없는 단점이 생긴다.

Threat Hunting 적용 방법은 네트워크 행위 분석, 외부 위협정보 활용 분석, 데이터 시각화 분석이 있다.

------------------------------------------------------------------------------------------------------------

수집 대상 로그

리포트 로그: 시스템 현황 로그 / SNMP, RIP있는 그 대로 보여주는 로그 / 현재 상황을 이해하는데 도움을 준다.

이벤트 로그: 규칙이 탐지한 로그 / 백신, IDS/IPS와 같이 탐지 내역 로그 / 공격 탐지에 도움을 준다.

제어 로그: 통제한 내역 로그 / 침입차단시스템의 차단 로그 등 / 네트워크 현황 이해에 도움을 준다.

------------------------------------------------------------------------------------------------------------

네트워크 계층

네트워크 증적 추적 (방화벽 웹 프록시 DNS DHCP)

엔드포인트 계층

사용자, 서버 행위 분석 (윈도우이벤트, 호스트 IDS, 백신)

사용자 인증 로그

사용자 추적성 확보 (Active Directory, SSO, 출입증)

위협 정보 로그(선택)

최신 위협 동향 수집 및 적용 ( IOC(Indicator of compromise), C2, 해시값)

------------------------------------------------------------------------------------------------------------

Threat Hunting 환경 구성

로그 저장소

관계형 데이터베이스 보다는 NO-SQL 기반의 저장소 권고

이기종 로그 수집의 용이성을 위함

수집과정에서 발생하는 대기시간 최소화

로그 소스 연동

인터넷을 통한 수집은 반드시 암호화

UDP보다 TCP 사용을 권고

NTP 서버 운영 필수 (Network Time Protocol)

모든 장비의 시간 정보가 동일해야 활용이 가능

출처: Threat hunting을 이용한 능동적인 보안 강화 (4분기 침해사고 정보공유 세미나 서진원(eBay Inc.)