[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(50일차)

오늘 학습 주제

1. HTTP 로그

 

 

 

 

HTTP 로그

---

- HTTP 이상 징후 -

비정상 메소드 사용

외부행 데이터 전송

Mime-type과 파일 확장자 불일치

사이트 이동 후 실행파일 다운로드

프록시 서버 접속

 

 

[비정상 메소드 사용]

Head, Delete, Trace, Option과 같은 메소드가 네트워크에서

지속적으로 보이는 것은 정상적인 사용자의 활동이라 보기 어렵다

 

 

[Mime-type과 파일 확장자 불일치]

 

Mime type & Content type

인터넷에서 데이터 형식을 식별하기 위해 사용

Mime type이 Content type보다 상위

 

 

[사이트 이동 후 실행파일 다운로드]

DBD(Drive by Download):

사이트 방문 시 자동적으로 파일 다운로드 되는 공격

공격자가 홈페이지를 해킹 후 악성코드와 스크립트를 은닉

취약한 보안을 가진 사용자가 해당 홈페이지를 접속하면 자동으로 파일이 다운로드

 

 

[프록시 서버 접속]

 

 

 

 

Endpoint

---

- Endpoint -

 

 

 

 

- Endpoint 로그 -

Endpoint 로그는 Endpoint에서 발생하는 이벤트를 기록

악성코드에 감염된 호스트 검색이 가능하며

위협 사냥의 기본 자료로 사용

※ 위협 사냥: 숨어있는 위험을 탐지해 공격기법과 공격자를 식별하고 제거하는 행위

 

Endpoint는 수량이 많아 대용량의 로그를 생성하기에

Endpoint 로그는 관리가 어렵다

그렇기에 PC 호스트별, 사용별 로그를 수집하고 분류한다

 

 

- Sysmon -

Microsoft 의 Sysinternal suite에 포함된 시스템 모니터링 툴

기본 윈도우 이벤트 로그로는 한계가 있는 프로세스 생성, 네트워크 연결,

파일 생성 시간 변경 등의 정보를 추출한 후 윈도우 이벤트 저장소에 저장

(이벤트 기반 정보가 아닌 '행동 기반 정보'를 수집해서 이벤트 저장소에 저장)

 

 

 

- Sysmon 기능 -

Microsoft 의 Sysinternal suite에 포함된 시스템 모니터링 툴

기본 윈도우 이벤트 로그로는 한계가 있는 프로세스 생성, 네트워크 연결,

 

 

- PC 이상 징후 분석 -

① 비정상 폴더에서 exe 파일 실행

일반적으로 공격에 사용되는 악성 코드는 단독 실행 파일로 동작

(시스템 폴더에 설치되지 않음)

그렇기에 프로그램의 실행 경로를 판단한다면 이상 징후를 판별 가능

 

② 파일 실행 후 원본 파일 삭제

- 실행 후 삭제되는 파일은 실행을 숨기려는 의도

프로그램을 실행 후 원본 파일을 디스크에서 삭제하는 것은 비정상적

 

③ 실행 후 네트워크 접속 다수 발생

다른 과다 접속을 유발하는 트래픽 프로그램

악성 코드(DDos)를 찾을 때 사용

 

④ 네트워크 Shell 실행

확장자를 통해 웹쉘 실행 검색