위협 현상금 개발자 인터뷰: 온루르 아탈리
최신 뉴스 방송을 만나보세요 SOC Prime 개발자 커뮤니티! 오늘 우리는 2021년 6월부터 우리의 Threat Bounty 프로그램에 기여하고 있는 열정적인 개발자 Onur Atali를 소개하고자 합니다. Onur는 Sigma 규칙에 집중하며 적극적인 콘텐츠 제작 활동을 하고 있습니다. Threat Detection Marketplace에서 Onur의 가장 높은 품질과 가치를 지닌 탐지를 참조할 수 있습니다.
자신의 경험과 사이버 보안에 대해 조금 설명해 주세요
저는 26세이고 사이버 보안 업계에서 약 4년 동안 일했습니다. 저는 Red 및 Blue 팀에서 일했습니다. 특히 고등학교 시절 웹 애플리케이션 프로그램을 하면서 사이버 보안 분야에 뛰어들었습니다. 제 웹 애플리케이션 코드를 검토하면서 보안 취약점을 유발할 수 있음을 알게 되었고, 보안 코딩에 대해 연구하면서 웹 애플리케이션 보안에 관심을 가지게 되었습니다. 그렇게 사이버 보안 분야에 입문하게 되었습니다.
저는 고등학교 시절 네트워크와 보안에 대해 궁금해했고, 사실 그때 기본을 배웠습니다. 또한, 그 당시에 저희 대학은 정보 보안 기술 분야를 도입했으며, 기본 네트워크 보안, 네트워크 프로그래밍, 웹 앱 보안 등 사이버 보안에 관해 중요한 주제를 대학에서 배웠습니다. 동시에 저는 CTF의 개념을 발견하고 여러 CTF 대회를 통해 자신을 시험하고 상을 받고 학위를 받았습니다. 이러한 대회는 저를 동기부여했고 사이버 보안에 대한 호기심을 더욱 자극해 졸업 후 펜테스터로 일하기 시작했습니다.
위협 사냥 활동에 참여하게 된 계기는? 사이버 보안에 관심 있는 주제는 무엇인가요?
펜테스터로 일할 때 목표에 대한 광범위한 연구와 약점을 찾아야 했습니다. 서비스를 더 잘 알수록 취약점을 포착하고 부정적 결과를 방지할 정보를 더 많이 얻을 수 있습니다. 약 2년 동안 펜테스터로 일하면서 여러 익스플로잇 코드, 익스플로잇 방법, 횡적 이동 기법을 보았습니다. 그 당시 위협 탐지 실습과 공격 분석에 빠져들기로 결정하고 Blue Team의 일원이 되었습니다. 공격 기술을 연구하고 방어 방법을 만드는 동안 공격 흔적을 기반으로 특정 탐지 규칙을 개발하는 데 많은 시간을 보냈습니다. 사실, 연구를 수행하기 위해 제 가상 머신에서 공격을 재현했습니다. 이전보다 사이버 공격의 수가 크게 증가했습니다. 공격 유형, 멀웨어 유형, 위협 행위자의 프로필은 매우 다양하고 많습니다. 따라서 위협 사냥 연구는 정확히 이루어져야 하며 세심한 연구가 필요합니다.
사이버 보안에서의 관심 분야는 위협 사냥, 사냥 규칙과 플레이북 작성, 보안 소프트웨어 개발, 안전한 네트워크 아키텍처 생성, 모바일/웹 애플리케이션 보안입니다. 또한, 피싱 시뮬레이션 소프트웨어와 피싱 템플릿을 준비합니다.
다른 위협 행위자들이 가장 일반적으로 사용하는 도구는 무엇이며, 이러한 도구에 대한 방어를 개선하기 위한 권장 사항은 무엇인가요? 예시가 있으면 좋겠습니다!
공격자들은 흔적을 숨기기 위해 합법적인 시스템 애플리케이션에 노력을 집중하고 있습니다. 해커들은 이렇게 하면 보안 분석가와 보안 위협 탐지 솔루션을 회피할 수 있다고 생각합니다. 제 연구에서 Impacket, Bloodhound, Rubeus, Mimikatz와 같은 도구를 횡적 이동에 사용되는 것을 보았습니다. 다른 자주 접한 도구로는 Proxychains, Tor, Hydra, Nmap과 같은 오픈 소스 소프트웨어가 있습니다. 공격자들이 사용하는 특수 위협 도구를 탐지하기 위해서는 운영 체제 수준에서 실행 중인 명령을 로깅하는 것이 중요하며, 명령어 “whoami, ipconfig, ping 8.8.8.8” 등을 의심스럽게 다루어야 합니다. 예를 들어, SIEM에서 횡적 이동 감지를 위해 Active Directory 서비스를 제공하는 시스템에서 권한 있는 관리자가 요청되면 경보가 생성되어야 합니다. 공격자는 획득한 시스템에서 악성 애플리케이션을 탈취, 변경하거나 다운로드하고자 할 수 있으므로 인터넷 트래픽과 시스템의 웹 주소를 확인하는 것이 유용하며, 특히 Tor 서비스에 대한 요청이 발생할 때 그렇습니다. 경보는 잠재적인 위협을 나타낼 수 있습니다. 무차별 대입 공격은 오늘날 가장 흔한 공격 유형이므로 SIEM 서비스는 5분 안에 적어도 10개의 다른 포트를 스캔하거나 RDP, SSH, FTP와 같은 중요한 서비스에 적어도 10개의 다른 사용자 이름으로 로그인을 시도하는 IP 주소들을 감지하고 자동으로 차단해야 합니다. SOC Prime은 전 세계에서 위협 탐지 규칙 관점에서 가장 풍부한 플랫폼이라고 생각합니다.
Sigma 규칙 작성에 얼마나 시간이 걸렸나요? 이에 필요한 기술적 배경은 무엇인가요?
Sigma 규칙을 작성하려면 특히 운영 체제 수준에서 로깅 서비스를 잘 아는 것이 필요하다고 생각합니다. 규칙을 작성하려면 공격자의 움직임을 잘 모니터링하고 false positive를 최소화해야 합니다. 그렇지 않으면 너무 많은 경보가 발생해 실제 위협을 놓칠 수 있습니다. Sigma 규칙은 위협 탐지 측면에서 매우 효율적이며 우리에게 적중할 수 있도록 도와줍니다. 멀웨어 분석, Incident Response 검토, 사이버 위협 보고서를 공부하면서 규칙 작성 능력을 향상합니다. 규칙을 작성할 때는 작성된 규칙의 탐지 소스와 내용이 예상 경보를 충족하는지 확인하는 것이 필요합니다.
SOC Prime Threat Bounty 프로그램에 대해 어떻게 알게 되었나요?
저는 SOC Prime 플랫폼을 사용하여 위협 사냥 규칙을 찾고 있었지만, 보상 프로그램에 대해서는 친구들에게서 들었습니다. 프로그램에 참여하게 되어 매우 기쁩니다. 여기서 많은 것을 배우고 자신을 발전시키고 있습니다.
Threat Bounty 프로그램과 함께한 여정에 대해 말씀해 주세요. Threat Detection Marketplace에 수정 없이 게시될 수 있는 Sigma 규칙을 작성하는 데 평균적으로 얼마나 시간이 걸리나요?
SOC Prime Threat Bounty 보상 프로그램에 대해 들었을 때 매우 관심이 있었고 즉시 신청했습니다. SOC Prime 팀은 제 신청을 비교적 빨리 승인했으며 저에게 연락을 주어 매우 기뻤습니다. 규칙을 작성하기 전에 기존 규칙들을 조사하고 프로세스를 배웠습니다.
플랫폼에서 규칙을 완벽하게 작성하기 위해서는 특히 멀웨어 분석과 Incident Response 분야에서 사이버 보안에 최소 1년의 경험을 가진 개발자가 필요합니다. 그러나 플랫폼 내의 기존 규칙을 검토하고 가이드를 읽은 후 1-2주 내에 첫 시도를 이미 완료할 수 있습니다.
Threat Bounty 프로그램에 참여하면서 얻은 가장 큰 가치는 무엇인가요?
Threat Bounty 프로그램에 참여하면서 얻은 가장 큰 가치는 제가 작성한 규칙이 흥미로우며 커뮤니티에 도움이 되기 때문입니다. 작성한 규칙이 기능적이지 않으면 의미가 없기 때문입니다. Threat Bounty 프로그램과 함께 Sigma 규칙 작성에서 스스로를 향상할 기회를 얻었고, 규칙을 작성하는 과정에서 운영 체제 수준의 세부 보안 설정에 대해서도 배울 수 있어 기술적인 향상이 되었습니다. 커뮤니티에 기여하고 자신을 발전시키면서 Threat Bounty 프로그램에 참여하게 되어 기쁩니다.
