실행 전술 | TA0002
목차:
개요 및 분석, 주요 데이터 소스, 실행을 탐지하기 위한 관련 Sigma 규칙
SOC Prime의 Detection as Code 플랫폼 은 MITRE ATT&CK® 프레임워크 v.10에 맞춰 제공되는 180,000개 이상의 컨텍스트가 풍부한 탐지 및 대응 알고리즘의 점점 확장되는 라이브러리에 대한 접근을 제공합니다. 새로 출시된 주문형 구독 등급 은 MITRE ATT&CK 프레임워크에 따라 실행 전술(TA0002)을 다루는 큐레이션된 Sigma 규칙을 제공하여 조직의 위협 프로필과 일치하는 최신 탐지를 확보할 수 있도록 합니다.
이 블로그 기사에서는 SOC Prime의 플랫폼에서 사용할 수 있는 실행 전술의 개요 및 분석, 주요 로그 소스 및 관련 Sigma 규칙을 제공합니다.
실행(TA0002)이란 무엇인가?
실행 전술은 악의적인 목적을 위한 코드 실행입니다. 이는 exe 또는 dll 코드 실행일 수 있으며, 임의 코드를 실행하는 기능(스크립트, Java 애플리케이션 등)을 통해 수행될 수 있습니다. 공격자들은 특히 직원 워크스테이션 및 서버와 같은 비클라우드 기반 애플리케이션에서 코드 실행 능력에 주로 의존합니다.
실행 탐지 규칙
MITRE ATT&CK 전술 및 기술에는 ‘모든 것을 통제할 하나의 규칙’이 없습니다. 실행을 감지하려면 광범위한 규칙 세트와 새로운 기술, 도구 및 구현이 등장할 때 이를 처리하는 프로세스가 필요합니다.
Sigma는 다수의 SIEM, EDR 및 XDR 솔루션에 사용할 수 있는 위협 사냥 쿼리를 표현하기 위한 사실상 표준으로 여겨집니다. Sigma 표준에 대해 자세히 알고 싶다면, 여기를 참조하세요. 또한, 자세한 내용을 보려면 Sigma 저장소 를 GitHub에서 탐색해보세요.
보안 실무자들은 SOC Prime의 Detection as Code 플랫폼 에 참가하여 25개 이상의 SIEM, EDR 및 XDR 언어 형식으로 번역된 광범위한 Sigma 규칙 컬렉션을 탐색할 수 있습니다. 대안으로 팀은 Uncoder.IO 온라인 Sigma 번역 엔진을 활용하여 탐지 소스 코드를 사용 중인 보안 솔루션으로 즉시 변환하거나 명령줄 인터페이스를 통한 SIGMAC 도구를 활용할 수 있습니다.
실행을 탐지하기 위한 권장 Sigma 규칙은 아래를 참조하세요:
행동 규칙: 의심스러운 PowerShell 다운로드
이 Sigma 규칙은 PowerShell 다운로더 패턴을 식별합니다. 초기 단계의 악성 코드(예: 오피스 드로퍼)는 종종 추가 악성 코드를 다운로드하기 위해 PowerShell을 활용합니다.
익스플로잇 규칙: CVE-2021-26857 Exchange 취약점 이용
이 규칙은 Exchange 실행 파일의 비정상적인 자식 프로세스를 식별하여 CVE-2021-26857 취약점 이용 가능성을 탐지합니다.
도구 규칙: 악의적인 PowerShell 커맨드렛
이 규칙은 커맨드렛 이름을 통해 일반적인 악의적인 PowerShell 프레임워크를 식별합니다.
클라우드 규칙: AWS EC2 시작 셸 스크립트 변경
이 규칙은 Amazon AWS의 EC2 가상 컴퓨팅 인스턴스(리눅스 / 윈도우 가상 머신 등) 내에서 시작 스크립트의 생성 또는 수정을 식별합니다.
실행 탐지: 가장 일반적인 로그 소스
Sigma 탐지 규칙은 조직별 환경에 존재하는 로그 소스를 기반으로 합니다. 실행을 탐지하기 위해 일반적으로 필요한 다섯 가지 일반적인 로그 소스는 다음과 같습니다.
프로세스 생성
거의 말할 필요도 없이 프로세스 생성은 실행을 수집하는 가장 명백한 데이터 소스입니다. 대개 실행에는 호스트 프로세스가 필요합니다. 그러나 프로세스 생성이 실행의 만병통치약은 아닙니다. 종종 새로운 프로세스가 필요하지 않은 경우가 있습니다(프로세스 인젝션, 셸 코드 실행 등).
다음은 일반적인 프로세스 생성 로그 소스입니다:
-
윈도우 보안 로그
- 4688, 명령줄 세부 사항이 포함되어 있는지 확인
-
윈도우 및 리눅스를 위한 Sysmon
- 이벤트 ID 1
-
리눅스 Auditd 로그
- execve 이벤트 유형
-
엔드포인트 탐지 & 대응 (EDR) | 확장 탐지 및 대응 (XDR)
- 일부 EDR 서비스는 패시브 또는 풍부한 프로세스 생성 이벤트를 제공하지 않습니다.
서비스 생성 and 예약된 작업 생성 데이터 소스
위협 행위자들은 실행을 위해 서비스를 생성하고 작업을 만드는 것이 일반적입니다. 아래는 가장 일반적인 서비스 및 예약된 작업 생성 로그 소스를 나열한 것입니다:
-
윈도우 보안 로그
- 7045
- 4698
-
엔드포인트 탐지 & 대응 (EDR) | 확장 탐지 및 대응 (XDR)
- 일부 EDR 서비스는 패시브 또는 풍부한 예약 작업 / 서비스 생성 이벤트를 제공하지 않습니다
PowerShell 로그
PowerShell은 흔히 악용되지만 런타임에 임의의 코드를 실행할 수 있는 모든 프로그래밍 언어 중 최고의 네이티브 로깅을 제공합니다(스크립팅 언어, 자바 등).
아래는 가장 일반적인 서비스 및 예약된 작업 생성 로그 소스 중 일부입니다:
-
윈도우 PowerShell 로그
- 4104 – 운영 로그
- 4103 – 운영 로그
- 500- 레거시 PowerShell 로그
-
엔드포인트 탐지 & 대응 (EDR) | 확장 탐지 및 대응 (XDR)
- 일부 EDR 서비스는 패시브 또는 풍부한 예약 작업 / 서비스 생성 이벤트를 제공하지 않습니다
안티바이러스 로그
안티바이러스 로그는 가장 간과되는 고가치 데이터 소스 중 하나입니다. 만약 악성 실행 파일이 시스템 중 하나에 침투하게 되고 최종 사용자가 직접 이메일, 브라우저 다운로드 또는 USB를 통해 놓은 것이 아니라면, 어떤 종류의 실행이 있었음을 알 수 있습니다.
SOC Prime의 Detection as Code 플랫폼은 세계 최대의 사이버 보안 커뮤니티의 협력 전문 지식에 의해 제공되는 탐지 콘텐츠를 제공하며, 이는 보안 팀이 대적하는 상대와의 싸움에서 상당한 이점을 제공합니다. SOC Prime의 플랫폼에 실행 탐지 콘텐츠를 제공하는 주요 기여자들은 다음과 같습니다:
- SOC Prime 팀
- 아리엘 밀라휴엘
- Threat Bounty Program 개발자 에미르 에르도안 and 오스만 데미르
도. 1. 실행 전술(TA0002)에 관한 Sigma 규칙과 25개 이상의 지원 플랫폼으로의 번역
최근에 출시된 주문형 구독 은 SOC Prime의 Detection as Code 플랫폼에서 즉각적인 가치를 제공하여 팀이 조직의 위협 프로필에 일치하는 탐지 콘텐츠에 즉시 접근할 수 있도록 하기 위해 설계되었습니다. 이 구독은 25개 이상의 SIEM, EDR 및 XDR 형식으로 번역된 1,700개 이상의 큐레이션된 Sigma 기반 탐지를 제공합니다. 주문형 구독 등급에 대한 자세한 내용을 원하시면, https://my.socprime.com/pricing/.
.schedule-call-modal-container iframe { height: 900px !important; width: 100%; border: none; overflow: hidden; } .schedule-call-modal-container .modal-body { padding-top: 0; padding-bottom: 0; border-bottom-right-radius: .3rem; border-bottom-left-radius: .3rem; } @media (min-width: 767px) { .schedule-call-modal-container { max-width: 770px !important; } .schedule-call-modal-container .modal-body { width: 768px; margin: 0 auto; } } @media (max-width: 420px) { .schedule-call-modal-container iframe { height: 751px; } } .h4, h4 { font-size: 1.3rem !important; font-weight: 400!important; margin-bottom: 25px !important; }
