제로데이공격 탐지

제로데이공격은 알려지지 않은 소프트웨어 결점을 노리는 공격이며 공개된 패치나 해결방법이 없다. 제로데이 취약성을 이용하는 정교한 공격은 흔히 악성 코드가 들어있는 스피어피싱 이메일에서 시작된다. 의심하지 않는 대상이 이메일을 열면, 악성 코드는 엔드포인트를 훼손시키고 명령과 제어(command and control)를 시작하고 나서 네트워크 통해 이동하여 민감한 데이터에 접속한 다음 이를 빼내려고 시도할 것이다.

솔루션

제로데이 공격은 명령과 제어 표지, 측면 이동, 데이터 유출을 통해 드러난다. 이 문제를 해결하고자, Splunk Enterprise Security Risk Analysis Framework는 위험에 처한 관련 변경내용을 평가하고 위험의 원인이 된 이벤트를 조사한다. Existing Incident Review, Security Domains 대시보드를 활용한 세밀한 조사로 공격을 탐지하고 Splunk App for Stream은 데이터 유출을 파악하는 데 도움이 된다.

데이터 소스

제로데이공격을 탐지할 수 있는 데이터 소스는 다음과 같다: 위협 인텔리전스 피드, DNS 데이터, 웹 서퍼링 또는 프록시 로그, Active Directory (AD) 또는 기타 인증 로그, 감사와 시스템 로그.

구성

Splunk Enterprise (6.3 버전 이상)으로 시작해서 Splunk Enterprise Security (ES) (4.0 버전 이상)을 추가한다. Splunk App for Stream를 설치하고 나서 와이어 데이터 소스에 Stream 애드온을 구성한다. 데이터 소스(엔드포인트, 웹 프록시, DNS, 프록시, Active Directory, 데이터베이스 서버)를 구성하고 관련 Splunk Common Information Model(CIM)에 따라 Splunk Enterprise에 데이터를 수집한다.

위험 변경자 조사

훼손된 계정 활동 내용 확인

1차 훼손 시간부터 현재 시각까지 이 엔드포인트에 지정된 Active Directory 인증 로그를 검색하고 상호 참조하면 이 호스트에 접속했던 전체 사용자뿐만 아니라 1차 훼손 이후에 이 사용자들이 이후에 접속했던 다른 호스트도 확인할 수 있다. 훼손된 엔드포인트의 목록에서 데이터베이스 감사 로그를 검색하면 훼손된 기존 사용자 계정과 활동이 확인된다.

헌터는 해커가 일련의 비밀번호보호 이진 파일로 기계의 디스크에서 다운로드 받은 데이터베이스 쿼리 결과를 보관하고 공통된 패턴을 따르는 파일명으로 이 파일에 표시했는지 여부를 파악할 수 있다.

데이터 유출과 방법의 확인

요약

ES는 훼손 지표(악성 코드 감염, 측면 이동, 데이터 유출)를 확인하고 전체 맥락에서 다수 도메인의 상관관계를 파악함으로써 제로데이공격을 탐지했다. Splunk Enterprise Security의 위험 분석, 접속, 인증 프레임워크를 활용하면, 애널리스트는 훼손된 엔드포인트, 측면 이동, 계정 훼손 및 다운로드를 쉽게 탐지할 수 있다. 데이터 유출은 감염된 엔드포인트, 훼손된 계정과 다운로드의 전후 관계 분석으로 탐지할 수 있다.