악성 코드 탐지와 조사

악성 코드를 탐지하고 악성코드 감염 호스트를 조사하는 일은 조직의 보안 태세 강화를 위한 보안운영팀의 공통된 과제다. 과거의 안티멀웨어
제품은 알려진 악성코드를 탐지하는 측면에서 효과적일 수 있지만 새롭거나 진화된 악성코드 유형을 만나면 실패할 수도 있다.

솔루션

이 사례의 경우에, Splunk Enterprise와 함께 Splunk Enterprise Security (ES)를 활용해서 악성 코드 감염 호스트를 탐지했다.
애널리스트는 Splunk Enterprise Security에 내장된 도메인 지정 대시보드, 상관관계 검색 및 보고 기능을 활용해 조직 전반에서 악성 코드를 쉽게 탐지할 수 있다.

데이터 소스

엔드포인트 보안 제품과 웹 프록시 서비의 로그 데이터를 활용한다. 엔드포인트 시스템의 데이터는 사용자 환경에서 악성 코드 감염의 정확한
뷰를 유지하는데 가장 중요한 요소다.

구성

Splunk Enterprise Security (4.0 버전 이상)과 함께 Splunk 플랫폼 인스턴스(6.3 버전 이상)를 구성하고 설치한다. 앞서 확인한 데이터 소스의
로그가 Splunk 플랫폼 인스턴스에서 색인으로 만들어졌는지 검증한다.

감염 호스트 세부내용

 
악성 코드 공격

Malware Attacks 스윔 레인은 이 호스트에서 기인한 대량의 악성 코드 공격을 보여준다. 알려지지 않은 악성 코드 시그니처로 호스트에 초점을
맞추고 검색 뷰의 피봇팅으로 감염된 호스트에 대해 자세한 내용을 파악할 수 있고 악성 코드 감염 호스트가 감염 이후에 수상한 콘텐츠를
다운로드 받았는지를 확인할 수 있다.

악성 코드 확산 확인

호스트의 악성 코드 이벤트 관련 목적지 IP는 웹 프록시 서버이며 트래픽은 웹사이트에서 다운로드 받은 실행 가능 파일로 인식된다.
새로운 검색을 함으로써, 유사한 다운로드가 동일한 도메인에 있는 다른 호스트에서 진행됐는지를 확인하고
동일한 도메인에서 실행 가능 파일을 다운로드 받았던 또 다른 호스트의 위치를 파악한 다음 호스트를 격리하는 조치를 취할 수 있다.

치료 활동 개시

감염된 호스트를 격리하면 악성 코드의 악영향을 제한할 수 있다.
로그를 보다 깊이 있게 탐색하면 미심쩍은 파일을 다운로드 받는데 사용하는 도메인처럼
 추가로 소중한 정보를 얻을 수 있어서 다른 잠재적 감염 호스트를 파악할 수 있다.
 이제 이 호스트들에 대한 보고서를 작성하고 이를 보내기 한 다음 엔드포인트 관리자와
 공유해서 추가로 조사를 하고 악성 코드를 제거할 수 있다.


 

요약

엔드포인트 시스템의 데이터와 프록시 서버 로그를 활용해서, Splunk Enterprise Security는 호스트가 악성 코드에 감염되고 미심쩍은 도메인에서
다운로드를 요청했을 때 주목할 만한 이벤트를 확인했다.
주목할 만한 이벤트는 조사의 시작점을 제공하기 때문에 애널리스트는 추가 대시보드와 세부내용을 활용해 악성 코드 감염 시작점의 위치를 파악할 수 있다.
데이터를 분석하고 검색 결과를 피봇팅 한 후에, 애널리스트는 미심쩍은 도메인에서 다운로드를 요청했던 호스트를 파악할 수 있다.

Splunk Enterprise Security로 표면화한 정보를 활용해, 애널리스트는 감염 호스트를 격리, 삭제하고 미심쩍은 도메인의 블랙리스트를 만들며
악성 코드 페이로드를 전달했던 미심쩍은 파일을 확인함으로써 악성 코드 발생 위협에 대처하는 핵심 단계를 수행할 수 있다.