개발자 인터뷰: 에미르 에르도안
우리는 계속해서 Threat Bounty Program의 멤버들을 인터뷰하고 있으며 (https://my.socprime.com/en/tdm-developers) 오늘은 Emir Erdogan을 소개하고자 합니다. Emir는 2019년 9월부터 프로그램에 참여하고 있으며, 그의 이름으로 110개 이상의 Sigma 규칙을 발표했습니다. Emir는 실제 위협을 탐지하기 위한 YARA 규칙도 발표하고 있습니다. 그의 규칙은 종종 우리 블로그 게시물에서 찾아볼 수 있습니다: 규칙 다이제스트, 위협 헌팅 콘텐츠, 그리고 이번 주의 규칙.
Emir, 당신에 대해 조금 이야기해 주시고 사이버 보안에서의 경험을 설명해 주세요.
2015년에 대학을 졸업한 후 정부의 지원을 받는 OS 프로젝트(Pardus)에서 비즈니스 분석가로 일하기 시작했습니다.
그리고 나서 사이버 보안 전문가로서 자신을 발전시키기 위해 직장을 바꿨습니다. 저는 사이버 보안의 많은 다양한 분야에서 SIEM 엔지니어, SOC 운영 전문의, 터키의 민간 항공사에서 정보 보안 및 관리 시스템 구축 프로젝트 멤버로 일해왔습니다.
현재는 여전히 터키에서 가장 중요한 회사들 중 하나에서 SOC 분석가 및 SOC 팀 리더로 일하고 있습니다.
Sigma 규칙 작성에 능숙해지는 데 얼마나 걸렸나요? 이를 숙달하기 위해 필요한 기술적 배경은 무엇인가요? 또한, 새로운 IOC Sigma 규칙과 위협 헌팅 Sigma 규칙을 작성하는 데 평균적으로 얼마나 걸리나요?
저는 6개월 동안 Sigma 규칙을 작성해왔습니다. 사실, Sigma 규칙 작성에 능숙해지려면 다양한 로그 소스에서 많은 Sigma 규칙을 작성해야 합니다. 제 생각에는 시간과는 관련이 없습니다. Sigma에 능숙해지고자 하는 사람은 다른 운영 체제와 보안 제품의 로그 유형을 알고 있어야 합니다.
Sigma 규칙 작성에 필요한 시간은 규칙의 복잡성에 따라 다릅니다. 일반적으로 Sigma 규칙이 더 복잡하고 다른 로그 유형을 포함할 경우 약 30분 정도 소요됩니다.
탐지하기 가장 복잡한 위협 유형은 무엇인가요? Emir, 실제로 발생한 예와 함께 설명해 주실 수 있나요?
모든 사람이 알다시피 루트킷과 같은 악성코드는 탐지하기 매우 어렵습니다. 그러나 최근에는 회피 기법과 난독화 방법의 사용이 증가하고 있으며, 이 중 일부는 탐지하기가 복잡해질 수 있습니다. 그래서 이러한 기술에 대해 언급하고 싶습니다.
전통적인 탐지 도구는 난독화된 악성코드와 파일에 쉽게 무력화될 수 있습니다. 모든 사이버 보안 전문가는 난독화된 PowerShell 스크립트나 악성코드를 접해본 경험이 있을 것입니다. 이러한 파일을 분석하는 것은 쉬운 일이 아닙니다.
보안 제어를 우회하기 위한 많은 회피 기법이 존재합니다. 예를 들어, 많은 사람들이 갈취 비트코인 협박에 직면했습니다. 그 이메일은 당신의 컴퓨터를 해킹해서 성인 사이트를 방문하는 것을 녹화했다고 말하며 몇 시간 안에 해당 영상을 친구와 가족에게 배포하겠다고 협박합니다. 그러한 이메일로부터 보호하기 위한 가장 효과적인 해결책은 안전한 메일 게이트웨이에 콘텐츠 필터링 규칙을 작성하는 것입니다. 비록 규칙이 비트코인 및 해킹 등 몇몇 키워드에 따라 작성되었다고 해도, 공격자는 블랙메일 텍스트를 첨부파일, 암호 보호된 PDF, 본문 이미지 파일로 보낼 수 있습니다. 이렇게 해서 콘텐츠 필터링 규칙을 우회할 수 있습니다.
팬데믹은 사이버 보안 실무자에게 또 다른 도전 과제입니다. 그것이 당신의 일상 업무에 어떻게 영향을 미쳤는지 말해 주세요. 혹시 함께 나눌 수 있는 집에서의 생활 요령이 있나요?
사이버 공격이 날로 증가하고 있기 때문에 현재 더 열심히 일하고 있다고 말할 수 있습니다. 예를 들어, 물류 회사 및 COVID-19 테마의 캠페인에 대한 피싱 공격의 수가 증가했습니다.
전 세계적으로, 저는 집에서 일을 계속하고 있습니다. 사이버 보안 전문가에게는 큰 문제가 아니라고 생각합니다. 왜냐하면 우리는 컴퓨터 앞에서 집에 있는 것을 좋아하니까요.
나는 아직 사회학적인 것 외에는 부정적인 영향을 관찰하지 않았다고 생각합니다. 이 질문 덕분에 모두에게 건강한 삶을 기원합니다.
다양한 위협 행위자가 가장 많이 사용하는 도구는 무엇이며, 그러한 도구에 대한 방어를 개선하기 위한 당신의 추천은 무엇인가요? 예시가 있으면 좋겠습니다!
실제로, 여러 위협 행위자가 사용하는 공통적인 도구가 많습니다.
PowerShell이 좋은 예가 될 수 있다고 생각합니다. PowerShell은 합법적이며 정말 강력합니다. 공격자뿐만 아니라 대부분의 시스템 관리자도 PowerShell을 필요로 하며 일반적으로 PS 스크립트를 사용하여 일상 업무를 수행합니다. 이러한 이유로, 악의적인 목적으로 사용되는지 이해하기 어려울 수 있습니다. 그러나 악의적인 활동을 탐지할 수 있는 몇 가지 단서가 있습니다. PowerShell이 필요하지 않은 업무에는 사용하지 말고, 필요한 경우 PowerShell 로깅을 활성화하고 SOC에서 모니터링해야 합니다. PowerShell SIEM 규칙을 작성하고 항상 풍부하게 해야 합니다.
PowerShell 외에도 웹셸은 다양한 위협 행위자가 자주 사용하는 도구입니다. 웹셸은 표적 및 원격 접근이 가능한 감염된 서버에 업로드된 악성 스크립트입니다. 웹셸은 가장 일반적이고 효과적인 백도어 중 하나로 알려져 있습니다. 공격자는 웹서버의 취약점을 먼저 악용하여 웹셸을 업로드하거나 이전에 감염된 다른 서버/호스트에서 업로드할 수 있습니다. 따라서 모든 서버/호스트가 최신 보안 패치로 업데이트되어 있는 것이 가장 중요합니다. 모든 웹 서버의 sysmon 로그를 모니터링하여 웹셸을 탐지하기 위한 상관 규칙을 개발할 수 있습니다. 웹셸을 탐지하기 위한 TDM에는 많은 Sigma 규칙이 있습니다. 간단한 예를 하나 들겠습니다. IIS 프로세스(w3wp.exe)가 cmd.exe를 호출한다면, 이는 의심스러운 것으로 태그 지어지고 SOC 분석가에 의해 분석되어야 합니다.
Threat Detection Marketplace에 기여한 다양한 위협 탐지 콘텐츠는 무료로 제공되며 전 세계의 사이버 보안 전문가들이 위협을 탐지하는 데 도움을 줍니다. 당신이 커뮤니티에 콘텐츠를 공유하는 이유는 무엇인가요?
공격자는 항상 한 발 앞서 있기 때문에 공격을 예방하기 위해 그들의 방법, 전술, 기술을 배우는 것이 필요합니다.
제 생각에는 연구자와 기관 간의 정보와 지식 공유가 사이버 공격을 예방하고 어떤 물질적, 도덕적 손실도 예방하는 데 매우 중요합니다.
사실, 일부 그룹이 팬데믹 동안 병원을 공격하고 공격자들이 사람들의 공황 상태를 이용하는 것을 보면서 나는 커뮤니티와 내 콘텐츠를 공유하는 데 더 큰 동기를 얻습니다.
Emir, SOC Prime Threat Bounty Program의 가장 큰 혜택은 무엇이라고 생각하나요?
Threat Bounty Program은 기업과 개발자에게 많은 이점이 있습니다. 새로운 위협을 따라가며 새로운 SIEM 규칙을 개발하는 것은 모든 기업에게 큰 도전입니다. Threat Bounty Program의 도움으로 기업은 특정 및 현재 위협에 대한 많은 탐지를 얻을 수 있습니다. 이 콘텐츠는 SIEM 솔루션에 쉽게 구현될 수 있습니다. 또한 개발자는 새로운 위협을 추적하고 새로운 콘텐츠를 개발합니다. 이 프로그램은 개발자가 자신의 콘텐츠를 발표하고, 스스로를 향상시키고, SOC Prime에 의해 보상받고 명예를 얻을 수 있는 큰 기회를 제공합니다.
우리 블로그에서 Threat Bounty Program 참가자와 더 많은 인터뷰를 읽어보세요: https://socprime.com/en/tag/interview/
