CERT 업무 - 침해 사고 분류 & 대응

교내 정보전산원에서 ECSC 정보보호 보조업무를 할 수 있는 기회를 얻어 현재 교내 근로 중이다. 

 

CERT 업무 중 탐지한 위협을 위험도 (매우낮음, 낮음, 보통, 위험, 매우위험) 이렇게 분류함을 알게 되었고, 이게 어떤 기준으로 적용하는지 궁금해서 찾아보고, 대응 방법 역시 적용할 수 있다면 이번 AWS 침해사고대응 프로젝트에 활용할 수 있을것 같다.

위험도

내부 자원 위험도

<의도>

파괴 유출 지연 잠복 침입시도 MD5 기타

 

탐지규칙 개발할때 그 점수를 매긴다
침입시도 낮음 서버웹해킹 높음

 

<자산(공인)>

전체IP대역(유선), 전체IP대역(무선), WEB 서버, 내부 응용 서버, DB서버, 패치 서버, 네트워크, 보안, 업무용pc, 비업무용pc, 기타

 

 <자산(사설)>

전체IP대역(유선), 전체IP대역(무선), WEB 서버, 내부 응용 서버, DB서버, 패치 서버, 네트워크, 보안, 업무용pc, 비업무용pc, 기타

 

IP/URI

북한IP, NCSC Black IP, ECSC Black IP, NCSC URL, ECSC URL

*NCSC : 국가사이버안보센터
*ECSC : 교육사이버위협정보공유시스템

탐지 규칙 위험도

(보통?-60)

 

취약점 점검 이력 (16개 - 공공기관 WEB 취약점 점검 리스트 기반 인듯 하다,,){injection, xss, csrf, 검증되지 않은 리다이렉트 및 포워드, 파일 업로드, 관리자 페이지 노출, 자동화 공격, 경로추적 및 파일 다운로드, url&파라미터 변조, 불충분한 세션 관리, 쿠키 변조, 디폴트&취약한 계정 사용, 부적절한 에러메시지 노출, 소스코드 내 중요 정보 노출, 중요 정보 비 암호화 통신, 디렉터리 인덱싱, 불필요한 method 지원, 히든필드 조작, 알려진 취약점이 있는 구성요소 사용}

 

시나리오 적중률

T형 1개, T형 2개, T형 3개

 

 

글로벌 위협 정보

CRITICAL, HIGH, MEDIUM, LOW

 

공격 분류 및 대응 방법

- 서비스거부 공격 

 

- 침입 시도 {윈도우 취약점 공격, 프로그램 취약점, 웹 취약점}

윈도우 취약점 공격 : 윈도우 시스템 및 윈도우 서비스의 OS자체버그 또는 각종 프로세스, 프로그램등의 취약점을 이용한 공격행위

1.원격 데스크톱서비스 기능 비활성화
2.방화벽 인바운드 RDP 연결 요청거부
3.로컬 계정 RDP 연결 차단
시스템 보안 설정 "Deny/log ion through Remote Desktop Services"활성화
4.Plink 커넥션과 관련된 레지스트리키 확인 (putty, putty_sshhostkeys)
HKEY_CURRENT_USER\Software\SimonTatham\Putty
HKEY_CURRENT_USER\Software\SimonTatham\Putty\SshHostKeys
5.netsh Port Proxy 구성 윈도우 레지스트리 키 확인  
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4  

프로그램 취약점 공격 ex) 프로그램 취약점 스캔 공격 : 서비스 중인 웹 서비스의 자체 버그나 패치 미적용 정보와 같이 공격에 필요한 정보들을스캔하여 취약점을 찾아내 수집하는 행위

1.감염 pc 포멧 후 재사용 권고

2. 운영체제 최신 보안업데이트 및 백신 프로그램 업데이트 상태 유지

3. 인터넷 pc에 업무 관련 자료 저장 금지, 정기적으로 pc 초기화

4. 출처가 불분명한 이메일과 url 링크 실행 금지
5. 파일 공유 사이트 등에서 파일 다운로드 실행에 주의  

웹 취약점 공격 ex) 웹 취약점 스캔 공격 : 서비스 중인 웹 서비스의 자체 버그나 패치 미적용 정보와 같이 공격에 필요한 정보들을스캔하여 취약점을 찾아내 수집하는 행위
<대응 방법>
1. 취약한 버전의 PHP 사용시 취약점이 해결된 버전으로 업데이트
2. 공격자 의심 IP 점속 port 방화벽에서 차단 - 필요시 피해 시스템을네트워크에서 분리 격리 조치
3. 웹 방화벽 등 보안 장비 정책 설정을 통해 해당 취약점을 이용한 악성 요청 필터링

<피해 여부 확인 방법>

1. Access Log 확인을 통해 공격 페이로드를 확인하여 php.ini 설정 변경 여부 파악
2. 방화벽 등 보안 장비 로그 확인을 통해 취약점 공격 여부 확인

- 웹 해킹{페이지위변조등}
  ex) 불법 유해 사이트로 리다이렉션
        1. 광고 url 페이지 확인 - x.html, 카지노, 야마토 등과 같은 의심 페이지 점검
        2. 광고 유포지 url 삽입 페이지 검출 -grep-r"광고url"웹페이지path
        3. 웹페이지 생성 및 수정 시간 확인

 ---------------------------------------------------------
       1. 웹 페이지 확인 - index.html,main,html,default,html,index.php,main.php,index.asp,main.asp,default.asp 외 기타 메인페이지로 설정된 파일 확인
       2. HTTP 메소드 확인 
        Windows: WebDAV 활성화 확인 - [관리도구]->[인터넷정보서비스(IIS)관리]->[웹서비스 확장] 허용 여부 확인

        Linux : Apache 웹서비스의 httpd.conf 확인 <Directory/> 에서 MOVE 또는 PUT 메소드

       3. allow 설정 여부 확인

        Windows: [사용 금지] 로 설정

        Linux : [deny] 로 설정
      4. 웹 로그 분석

 

- 경유지 악용{해킹 경유지 악용} 

• 해킹 경유지 IP 차단
• 악성파일(프로세스) 확인 및 삭제
• 운영체제 최신 보안 업데이트 실시
• 최신 백신 업데이트 후 바이러스 점검 및 치료
• 시스템 패스워드 변경, OS 최신 업데이트

- 미분류

 

- 악성코드 감염{자원 악용&시스템 정보}

• 필요시 침해사고가 발생한 시스템에 대해서 포멧 후 재사용
• 채굴 프로세스 확인(변종 다수 확인) - 기타 정상 프로그램으로 위장해 채굴 프로세스로 동작 할 수 있음
• 동일 사고 지속 발생시 초기화 사용 권고
• 유닉스 계열 운영체제일 경우 1. 프로세스 목록에서 CPU 자원 소모가 큰 프로세스 종료 및 해당 파일 미 사용시 삭제
  2. /tmp/ 경로에 은닉되어 있는 악성코드 점검
  3. lsof -i 명령어를 통해 현재 사용 중인 파일 중 목적지 ip와 통신 중인 파일 확인 및 관련 파일, 작업 스케줄러 삭제
  4. crontab 파일을 확인하여 악성코드 등록 여부 점검 및 보안 조치

- 해킹 메일

공격(경유) IP 차단