본문 바로가기 주메뉴 바로가기

최신IT소식

재택근무자 노린 코로나19 워크스테이션 공격 탐지와 차단을 위한 3가지 주요 로그

관리자 2020-04-22 조회수 240

 

 

이전 포스팅에서도 언급했듯이 코로나19 피싱과 맬웨어 공격이 확산되고 있습니다. 사이버 범죄자들은 현재 일어나는 다음과 같은 혼돈을 기회로 악용하고 있습니다.

 

● VPN을 통해 네트워크에 연결되는 새로운 엔드포인트의 폭증

● VPN 외부에서 엔드포인트 및 생산성 서비스에 연결하기 위한 갑작스러운 애저 AD(Azure Active Directory) 의존 증가

● 코로나19 관련 최신 정보에 목마른 통제되지 않는 원격 사용자

 

준비된 자에게 기회가 찾아온다는 말처럼 공격자들은 준비가 된 상태에서 기회를 맞이했습니다. 지난 몇 년간 랜섬웨어와 맬웨어, 피싱 사기, 드라이브 바이 다운로드(drive-by-download), 패스 더 해시(pass-the-hash) 공격을 실행해왔습니다. 이제 공격자들은 메시지를 바꿔 코로나19에 대한 공포심을 이용하고 관련 정보에 대한 갈망을 채우기만 하면 됩니다.

 

이와 같은 공격의 공통점은 무엇일까요? 사용자 워크스테이션부터 시작된다는 점입니다. 엔드포인트의 애플리케이션을 적절히 패치하고 교육을 통해 사용자가 피싱 이메일의 악성 링크를 클릭하거나, 랜섬웨어 바이러스에 감염된 첨부파일을 열거나, 알 수 없는 USB 드라이브를 삽입할 가능성을 낮추는 등 이 위험을 완화하기 위해 할 수 있고, 해야 하는 일이 있습니다. 그러나 공격자들은 지능적이고 끈질깁니다. 몇몇은 결국 방어를 뚫을 것입니다. 엔드포인트에 대한 공격을 최대한 조기에 포착해서 실질적 피해가 발생하기 전에 대처할 수 있어야 합니다. 어떻게 해야 할까요?

 

방법은 워크스테이션을 면밀히 모니터링하는 것입니다. 특히, 갑작스러운 재택근무의 혼돈 중에서는 더욱 모니터링이 필요합니다. 네이티브 툴을 사용한다면 세 가지 핵심 로그인 Windows 보안 로그, Sysmon 로그, 그리고 Powershell 로그를 사용해 엔드포인트 보안을 개선하는 방법을 알아야 합니다. 각 로그에서 알 수 있는 가장 중요한 사항을 간단히 정리하면 다음과 같습니다.

 

Windows 보안 로그

Windows 보안 로그는 다음을 포함한 많은 중요한 이벤트를 확인할 수 있는 유일한 로그입니다.

 

● 로컬 사용자 및 그룹 열거 - 악의적인 코드는 쓸 만한 자격 증명을 찾기 위해 로컬 사용자 계정과 로컬 그룹을 열거하는 경우가 많으므로 이러한 이벤트를 모니터링하면 악성 코드가 횡적으로 다른 시스템으로 이동해 입수한 자격 증명을 사용하기 전에 악성 코드를 포착할 수 있습니다.

● 로컬 계정 생성 및 그룹 변경 -  공격자들은 로컬 계정과 로컬 그룹을 만들고 수정하는 경우가 많으므로(특히 로컬 관리자 그룹) 관련 이벤트에 주목해야 합니다.

● 로컬 계정을 사용한 로그인 시도 - 사용자들은 일반적으로 도메인 계정을 사용해 워크스테이션에 로그인하므로, 로컬 계정을 사용한 로그인 시도는 공격을 나타내는 강력한 신호일 수 있습니다.

● 명시적 자격 증명을 사용한 로그인(이벤트 4648) -  예약된 작업은 다른 계정의 자격 증명을 명시적으로 지정해 로그인하는 경우가 많지만, 예약된 작업은 일반적으로 워크스테이션에서는 실행되지 않습니다. 따라서 이 이벤트는 공격자가 수집한 자격 증명을 사용하려 시도 중임을 나타낼 수 있습니다.

● 사용자가 물리적으로 위치해서 활동한 시점 - 워크스테이션이 잠긴 상태에서의 모든 활동은 추가 조사가 필요합니다.

● 방화벽 구성 변경 - 애플리케이션이 설치 과정에서 Windows 방화벽에 예외를 추가하는 경우도 간혹 있습니다. 예외는 악의적 의도가 아니라 해도 심각한 보안 공백을 유발할 수 있으므로 면밀히 주시해야 합니다.

● 플러그 앤 플레이 디바이스 연결 -  맬웨어는 USB 드라이브나 기타 플러그 앤 플레이 디바이스를 통해 워크스테이션으로 잠입하는 경우가 많으므로, 이런 디바이스를 사용한 연결을 감사하는 것은 필수적입니다.

 

Sysmon 로그

Sysmon은 마이크로소프트가 제공하는 무료 서비스로, 시스템 활동을 모니터링해서 그 결과를 ‘Sysmon’이라는 같은 이름의 Windows 이벤트 로그에 기록합니다. 모니터링해야 할 이벤트는 다음과 같습니다.

 

● 프로세스 생성 - 단순히 명백한 악성 프로세스를 찾는 것만으로는 충분하지 않습니다. 공격자는 손쉽게 정상적인 툴과 같은 이름의 악성 프로그램을 만들거나 기존 프로그램을 수정해서 불법적인 활동을 할 수 있습니다. Sysmon은 파일 콘텐츠의 해시를 제공하므로 이와 같은 교묘한 공격을 포착할 수 있습니다.

● 네트워크 연결 - 네트워크 연결 모니터링도 공격자를 찾는 데 도움이 될 수 있습니다. Sysmon은 ProcessID와 ProcessGUID 필드를 통해 각 연결을 프로세스에 연결하고 출발지와 도착지 호스트에 대한 세부 정보를 제공하므로 조사에 도움이 됩니다.

● 레지스트리 변경 - 공격자는 워크스테이션이 재부팅된 뒤에도 악성 코드가 계속 실행되도록 하기 위해 레지스트리를 수정하는 경우가 많습니다. Sysmon은 변경한 사용자, 변경에 사용된 컴퓨터, 변경이 발생한 시점, 프로세스 ID, 이름이 바뀐 키나 값의 새 이름을 알려줍니다.

● 파일 생성 - 의심스러운 파일 생성 이벤트를 신속하게 포착해서 조사해야 합니다. 특히, 초기 감염 중에 맬웨어가 자주 나타나는 시작 폴더와 같은 자동 시작 위치와 임시 및 다운로드 디렉토리를 모니터링해야 합니다.

● DNS 쿼리와 실행 파일 - ISP DNS 또는 홈 네트워크 라우터 DNS를 사용하는 원격 작업자는 공격자에게 손쉬운 침해 대상입니다. 공격자는 DNS를 하이재킹해서 사용자 자격 증명을 훔치거나 맬웨어를 배포합니다. 워크스테이션에서 DNS 로깅을 활성화해서 DNS 쿼리와 해당 쿼리를 수행한 실행 파일을 모니터링할 수 있습니다.

 

PowerShell 로그

해커는 PowerShell을 애용합니다. 아주 강력하고, 많은 클라이언트 운영체제 및 시스템 관리 작업을 위한 필수 툴이기 때문입니다. PowerShell 활동을 면밀히 주시하는 것이 아주 중요합니다. 두 개의 PowerShell 로그를 모니터링하면 다음을 포착하는 데 도움이 됩니다.

 

● 로드된 공급자 - PowerShell 공급자는 특정 데이터 저장소의 데이터를 PowerShell에서 사용 가능하게 해주는 프로그램입니다. 일상적이지 않은 공급자 로드는 악의적 활동을 나타낼 수 있습니다.

● 모듈 로깅 - 모듈 로깅은 실행된 모든 명령과 모든 매개변수를 포함한 세부적인 감사를 제공합니다(단, 명령의 출력은 제외).

● 스크립트 블록 로깅 -  스크립트 블록 로깅은 실행된 모든 PowerShell 코드 블록을 보여주는데, 이는 개별 명령을 보는 것보다 훨씬 더 많은 맥락을 제공합니다. 해커가 명령을 숨기거나 위장하더라도 이 이벤트는 실행된 실제 명령을 보여줍니다.

 

 

공격을 차단하는 방법

지금까지 설명한 로그 모니터링이 너무 힘든 일처럼 들릴 수 있는데, 실제로 그렇습니다. 게다가 모든 엔드포인트에서 적시에, 효율적으로 로그를 수집하기는 어려우므로 중요한 이벤트를 놓칠 가능성이 높고(조직에서 사용되는 노트북의 수가 몇 대인지 생각해 보십시오), 로그 자체도 완전하지 않은데다 해독하기도 어렵습니다.

 

이벤트를 찾는다 해도 문제입니다. 활동이 이미 일어났다면 어떻게 대처해야 할까요? 너무 늦은 것이 아닐까요?

 

아쉽게도 네이티브 솔루션에서 이러한 공격을 실시간으로 경고하고 차단하는 기능은 제한적입니다. 이벤트를 제대로 파악하고 즉각적인 경고 및 대응을 실행하기 위해서는 로그 관리 솔루션을 사용해야 합니다.

 

퀘스트 인트러스트(Quest InTrust)는 IT 작업 부하와 스토리지 비용을 줄이면서 엔드포인트 보안을 비약적으로 개선하는 데 도움이 됩니다(VPN에 없는 엔드포인트까지). 인트러스트를 사용하면 의심스러운 이벤트에 대해 활동 차단, 공격 사용자 비활성화, 변경 되돌리기 또는 비상 감사 활성화와 같은 자동화된 대응을 트리거할 수 있습니다.

코로나바이러스 상황을 이용한 악성 공격이 증가하는 지금은 워크스테이션 모니터링을 강화해야 할 시기입니다. 격리 기간 중에 가정용 노트북이나 컴퓨터를 사용해서 업무를 계속 수행하는 재택 근무자용 워크스테이션도 마찬가지입니다. 모니터링해야 할 워크스테이션 로그와 로그 모니터링 및 사후 관리에 대해 궁금한 점이 있으시다면, 언제든 퀘스트소프트웨어 코리아로 문의 주시기 바랍니다.

  • 등록된 댓글이 없습니다.