위협 바운티 개발자와의 인터뷰 – PHYO PAING HTUN
오늘, 우리는 SOC Prime 커뮤니티에 재능 있고 헌신적인 구성원을 소개하고자 합니다. 위협 현상금 프로그램 및 탐지 콘텐츠 저자 – Phyo Paing Htun, 2022년 12월부터 SOC Prime 플랫폼에 탐지를 게시해 왔습니다.
- 자기 소개와 사이버 보안 전문가가 되기로 결심한 이유를 말씀해 주세요.
제 이름은 Phyo Paing Htun이며, Chi Lai라고 부르셔도 됩니다. 저는 미얀마에서 태어났고, 버마 시민권을 가지고 있습니다. 하지만 요즘 저는 태국 방콕으로 이주하여 현재 방콕에서 일하고 있습니다. 현재 제 직책은 태국의 관리형 보안 서비스 제공업체 중 하나에서 사이버 보안 사고 대응자 L2로 일하고 있습니다. 제 책임은 SOC 분석가들이 제기하는 모든 사건과 위협에 대응하고, CVE 공격 행태를 연구하는 것입니다. 주요 초점은 보안 정보 및 이벤트 관리(SIEM)를 사용하여 잠재적 공격 행태를 이해하고 완화하는 방법입니다.
- 당신의 전문 교육과 자격증은 무엇이며, 어떻게 전문적으로 성장했는지 알려주세요.
저는 이미 Security Blue Team의 BlueTeam Level 1(BTL1)을 취득했고, 2023년에는 INE Security의 위협 헌팅 전문가 시험에도 합격했습니다.
- 위협 현상금 프로그램에 대해 어떻게 알게 되었고, 왜 가입하게 되었나요?
저는 Senior 친구들(Ko Kyaw Pyiyt Htet, Ko Zaw Min Htun, 그리고 Ko Aung Kyaw Min Naing)로부터 알게 되었으며, 그들 또한 프로그램의 회원입니다. 그들은 Sigma 규칙을 SOC Prime에 기여했고, Sigma 규칙을 작성하는 방법, 사이버 보안 뉴스를 검색하는 방법 등을 저에게 지원했습니다. 또한, 저는 Splunk SPL, Kibana 쿼리, KQL 등으로 위협 탐지 쿼리를 작성하고 싶지만, 모든 언어를 자세히 배우고 이해하기는 어렵습니다. 그래서 저는 Sigma 언어를 선택하여 이를 더 배우기로 했습니다. Sigma는 uncoder.io.
- 이제 규칙 작성이 어렵습니까?
저는 소프트웨어 개발자 배경을 가지고 있으며 YAML과 같은 여러 쿼리 언어에 익숙합니다. 이제는 어렵지 않습니다. 저는 Adam Swan의 Sigma Rule for Beginners라는 기사에서 배우기 시작했습니다. 그것은 조건을 작성하는 방법, 로그 소스를 식별하는 방법, Sigma가 지원할 수 있는 로그소스 종류 등 기본 사항을 이해하게 해 주었습니다.
- 위협 현상금을 위한 규칙을 작성할 때, 아이디어에서 출판까지 얼마나 걸리나요?
대략 두 시간쯤 걸릴 것입니다. 위협 보고서에서 탐지 목적으로 작성할 수 있는 전술 및 기술의 종류를 이해해야 합니다. 중요한 아티팩트를 찾아 보고서를 읽고 명확히 이해해야 합니다. 이후 Sigma 규칙을 작성합니다.
- 최근에 발표한 규칙 중 하나를 예로 들어, 연구에서 출판까지의 규칙 작성 과정을 설명해 주시겠어요? 리뷰 과정도 포함해서요?
이것은 현재의 제 최신 규칙입니다 – “레지스트리 값 수정으로 탐지된 가능성 있는 BlotchyQuasar RAT [일명 Hive0129의 뱅킹 트로이목마] 방어 회피 활동. (레지스트리_이벤트를 통해)”입니다. 저는 방어 회피 활동을 주제로 규칙을 작성하기로 했습니다. 보고서를 읽는 것으로 시작했습니다. 이 보고서는 BlotchyQuasar 맬웨어에 관한 것이며 활동은 이미 Hive0129 APT 그룹과 연관되어 있습니다. 보고서는 초기 접근, 방어 회피, C2 커뮤니케이션 등 탐지 체인을 작성하기 위한 여러 아이디어를 제공했습니다.
보고서의 한 부분을 기반으로 방어 회피 기술을 레지스트리 값 변경 과정에 선택했습니다. 그러나 규칙을 작성하기 전에 SOC Prime 플랫폼에서 Lucene 검색을 사용하여 기존 규칙을 검색해야 합니다. 우선 중복 규칙을 작성하지 않을 것을 확실히 해야 합니다. Lucene을 사용한 검색 결과 “TamperProtection”에 대해 여러 규칙이 반환되어 다른 것을 선택하여 규칙을 만들기로 결정했습니다.
처음에는 값 부분의 세부 정보가 잘못되어 규칙이 거부되었습니다. 그러나 필요한 변경을 빠르게 수행했고, 규칙은 출판되었습니다.
저는 새로운 위협 보고서를 검색하기 위해 IBM X-Force Exchange Osint 권고 를 사용합니다.
- 개인적으로 받는 콘텐츠 거절의 가장 빈번한 이유는 무엇입니까?
보고서에 행위 IOC가 포함되어 있고, 이를 기반으로 규칙을 작성하면 거부될 수 있기 때문에, 아마도 “저항력이 낮은 규칙”일 것입니다. 승인 받기 위해 강력한 탐지 규칙을 작성해야 합니다.
- 큰 전문 커뮤니티의 일원으로서, 플랫폼에 게시한 규칙들의 가장 큰 가치는 무엇이라고 생각합니까?
조직이 SOC Prime 에 탐지 콘텐츠를 참조할 때, 그들이 ‘임의의’ 규칙이나 IOC 규칙, 또는 행위-IOC 규칙이 아님을 확신할 수 있습니다. 조직에게는 일반 탐지 규칙과 같은 강력한 탐지가 매우 중요합니다.
- 위협 현상금 프로그램의 새로운 회원, 프로그램과 함께 길을 막 시작한 새로운 콘텐츠 개발자에게 추천할 사항은 무엇인가요?
저는 확실히 새로운 모든 회원들이 존재하는 콘텐츠를 SOC Prime 플랫폼 에서 확인하도록 추천합니다. 또한, 저수준의 IOC 규칙을 작성하지 마십시오. 이러한 규칙은 짧은 시간 후에 효과적이지 않습니다. 또한 SigmaHQ 는 Sigma 규칙을 만드는 방법에 대한 일반 기본적인 것을 배우기 좋은 자원일 수 있습니다.
- 콘텐츠 게시 거절을 많이 받은 후에도 프로그램에 참여하는 동기는 무엇입니까?
거절 메시지가 너무 많으면 주로 위협 현상금 프로그램의 디스코드 채널에 문의합니다. 예를 들어, 규칙이 저항성이 낮아 계속 거부되는 이유를 알 수 없었습니다. 디스코드 채널에서 팀에게 설명을 요청했습니다. 모든 것이 매우 명확해졌고, 단지 규칙을 다시 작성해야 했습니다. 규칙을 검토에 제출했으나, 다시 거부되었습니다! 그것은 정말 힘든 시간이었지만, 규칙을 분석하는 시간을 갇고, 일부 변경을 다시 수행한 후, 검토 후에 마침내 규칙이 게시되었습니다. 규칙을 수정하여 뛰어나게 만들 수 있는 경우, 검증 팀이 일부 세부 사항을 제공하는 것이 매우 도움이 됩니다.
- 우리가 디스코드에서 다른 저자들에게 답변할 때 유익하다고 느낍니까? 예를 들어, 다른 저자가 규칙이 거부된 이유에 대한 질문을 할 때.
그것은 저에게 매우 유용했습니다. 특히, 디스코드의 대화에서 왜 규칙이 거부되는지를 학습했습니다. 또한, 그 대화들은 제가 피해야 할 실수(저항력이 낮음)와 제가 작성할 수 있는 강력한 탐지 규칙의 종류에 대한 이해를 제공했습니다.
- 친구들의 도움으로 위협 현상금 프로그램에 참여하기 시작했다고 언급했는데, 그들은 먼저 규칙을 게시하기 시작했습니다. 새로운 구성원의 사이버 방어 잠재력을 성장시키는 로컬 전문 커뮤니티의 훌륭한 예입니다. 그들을 어떻게 만났나요? 경쟁이 있나요?
우리는 우리에게 흥미로운 위협 탐지 아이디어에 대해 토론하기 위해 Discord 및 기타 채널을 사용했습니다. 우리(미얀마 위협 탐지 개발자 커뮤니티) 그룹 내에서는 경쟁이 없으며, 우리는 서로 돕고 지원하며, 그것은 우리 각자가 성장하는 데 도움이 됩니다.
시간 내주셔서 감사드리며, 매우 통찰력 있는 대화였습니다! Phyo Paing Htun이 더 많은 콘텐츠 출판으로 성공하기를 기원합니다!
에 가입하고 싶으신가요? SOC Prime 위협 현상금 프로그램? 지금 참여 신청을 주저하지 마세요!
