BLOG

차세대 통합보안관리 기업
이글루시큐리티 블로그입니다.

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루시큐리티 블로그입니다.

블로그 상세
SIEM을 활용한 익명의 SNS 요청 악성 코드 탐지 2019.10.07 0 340

 

 

 

SPiDER TM V5.0은 이글루시큐리티 보안관제 경험과 빅테이터 활용역량이 집약된 통합보안관리 솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화 된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다. 

 

 

1. SNS가 악성코드 감염경로?

 

현재 우리는 시간과 공간의 제약없이 SNS을 쉽게 이용할 수 있다. 대표적인 SNS인 페이스북, 트위터, 인스타그램 등을 이용하는 사용자는 지속적으로 증가하고 있으며, 누구나 쉽게 정보를 공유하며 소통한다.  

따라서 접근이 쉬운 만큼 누군가에게는 손쉬운 공격의 장이 될 수 있으며, SNS를 통한 공격은 불특정 다수의 수많은 사용자들이 대상이 되기 때문에 엄청난 파급효과를 불러온다. 

이번 SIEM가이드에서는 SNS상의 친구 요청, 사진 추가, 코멘트 확인 등 모르는 사람에게서 메일을 통해 전달되는 요청을 클릭할 경우 발생할 수 있는 악성코드 감염에 대해서  알아보고자 한다. 

 

 

2. 탐지 시나리오

  

 

[그림 1] 탐지 시나리오

 

 

1) SNS 요청 관련 메일 탐지 

 

 

 

[그림 2] SNS 메일로 위장한 공격메일 

 

 

[그림 2]와 같이 공격자는 위조한 메일을 통해 공격 대상에게 메일을 전송한다.

메일을 수신하는 사용자는 마치 SNS에서 실제로 전달하는 메일로 착각하고 메일을 열어보게 된다.

 

[그림 2]와 같은 SNS 메일을 이용한 공격을 탐지하기 위해 [그림 3]과 같이 메일 보안 솔루션에 대해  ‘Instargram’, ‘Facebook’, ’twitter’ 등의 문자열을 탐지하는 경보를 설정한다. 

 

 

 

[그림 3] SNS 메일에 대한 탐지 경보 

 

 

2) 요청 받은 SNS사이트 링크 이후 피싱 사이트 접근 

  

 

[그림 4] 피싱 사이트 접근

 

 

[그림 4]와 같이 위조된 SNS 메일에 존재하는 링크를  통해 사용자는 공격자의 피싱 사이트로 이동하게 된다.

 

이를 탐지하기 위해 방화벽을 이용하여 [그림 5]와 같이 블랙리스트 IP를 목적지로 접근하는 시도를 탐지하는 경보를 설정한다. 블랙리스트 IP는 SPiDER TM V5.0에서 제공하는 기능으로 피싱 사이트, C&C 서버 등 유해사이트에 대한 정보를 등록하고 탐지하는 기능이다. 

 

 

[그림 5] 피싱사이트 접근 탐지 경보

 

 

3) 피싱 사이트 이동한 사용자 PC에서  Malware 탐지 

 

 

[그림 6] 피싱 사이트로 인한 Malware 감염

 

 

피싱 사이트로 접근한 사용자는 공격자가 사이트에 심어놓은 Malware에 감염이 된다. 이번 가이드에서 사용된 Malware는 TROJAN.MSIL.BERBOMTHUM.AA이다. 해당 Malware는 감염 시 페이스트빈에 하드코딩 된 URL을 통해 지속적으로 내부정보를 유출하게 된다. 

 

피싱 사이트로 접근한 사용자 PC가 Malware에 감염되었기 때문에 백신을 이용하여 [그림 7]과 같이 Malware를 탐지하는 경보를 설정한다.

 

 

 

[그림 7] 피싱 사이트로 인한 Malware 감염 탐지 경보

 

 

3. 상관분석 룰 등록

 

▶ 앞서 등록한 단일 경보 3가지에 대하여 1단계 부터 3단계까지 상관분석 등록

 

① 개인 메일이 아닌 사내 메일로 SNS 관련 요청을 받은 사용자 PC 탐지

② 요청을 받은 사용자 PC에서 Phishing 사이트 접근 탐지

③ Phishing 사이트에 접근하여 악성코드에 감염된 사용자 PC 탐지

 

승계 조건을 활용하여 연계 경보 탐지​ 

1단계 -> 2단계 승계 조건 : 1단계 목적지 IP = 2단계 출발지 IP

2단계 -> 3단계 승계 조건 : 2단계 출발지 IP = 3단계 목적지 IP​

  

 

[그림 8] 상관분석 룰 설정 및 경보 발생 화면 

 

 

4. 대응방안 및 결론

 

1) 대응방안

 

① 소셜 미디어(SNS) 및 모든 온라인 지인들에게서 공유되는 출처가 불분명한 URL 링크에 대해서는 실행을 자제 

② OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW 등 프로그램 최신 패치를 반드시 적용하여 취약점 예방 

③ 백신 최신 버전 유지 및 실시간 감시 기능 실행 등 놓치기 쉬운 기본적인 보안 수칙을 반드시 준수

 

 

2) 결론

 

지금까지 공격 시나리오를 통해서 SNS를 이용한 공격의 위험성 및 SIEM의 상관분석 기능을 이용하여 공격 행위를 탐지하는 방법까지 알아보았다.

이처럼 SNS, 메일 등을 이용한 공격은 사회공학적 해킹 기법으로 시스템이 아니라 사람들의 습관적인 행동에 의해서 해킹이 발생한다. 그러므로 누구나 공격 대상이 될 수 있으며 자신도 모르는 사이 개인 정보가 유출될 수 있고 공격자가 나의 가까운 지인이 될 수도 있다. 이러한 공격에 피해를 입지 않기 위해서는 앞서 제시한 대응 방안을 반드시 준수해야 할 것이며, 보안솔루션에만 의지하는 기술적인 보안이 아닌 보안을 생활화하는 문화 조직과 더불어 개개인의 보안의식을 제고하는 것이 가장 중요하다. 

 

 

 

 

이전글, 다음글 목록
다음글 Active Directory Server의 장단점과 안전 운영 방안
이전글 2019년 상반기 랜섬웨어 동향 (Part 1. CLOP/Sodinokibi)

원하시는 계정으로 로그인 후 댓글을 남겨 주세요.

사용자 이미지
0/ 250 byte