Uncoder AI와 SentinelOne 쿼리 언어를 사용한 Curl 기반 TOR 프록시 접근 조사

**이벤트 개요**

이 이벤트는 프로세스가 특정 조건을 충족할 때 트리거되며, `curl.exe` 실행 파일을 통해 다크 웹이나 익명 네트워크와의 상호작용 가능성을 나타냅니다.

**주요 조건**

1. **실행 파일 경로**: 대상 프로세스(`TgtProcImagePath`)는 `curl.exe` 경로를 포함해야 합니다. 이는 해당 프로세스가 curl 명령줄 도구의 인스턴스임을 암시합니다.
2. **명령줄 매개변수**: `curl.exe` 프로세스의 명령줄(`TgtProcCmdLine`)은 잠재적으로 악의적이거나 의심스러운 활동의 지표가 되는 특정 URL 패턴을 포함합니다.

• `socks5h://`, `socks5://`, 또는 `socks4a://`: 이러한 문자열은 SOCKS 프록시 사용을 나타냅니다. SOCKS는 인터넷 트래픽을 프록시 서버를 통해 라우팅할 수 있는 프로토콜입니다. `socks5h`의 `h`는 일반적으로 호스트 이름이 프록시 측에서 해결됨을 의미하며, 실제 목적지를 숨기는 데 도움을 줄 수 있습니다.
• `.onion`: 이 문자열은 Tor onion 서비스를 나타냅니다. Onion 서비스는 익명을 유지하고 Tor 네트워크를 통해 액세스할 수 있는 웹사이트나 서버를 호스팅하는 데 사용됩니다.

**의미**

이러한 조건의 결합은 몇 가지 가능한 시나리오를 암시합니다.

• **다크 웹 리소스 접근**: `.onion` URL의 존재는 종종 불법 활동과 관련된 다크 웹 리소스에 접근하려는 시도를 나타냅니다. 그러나 이는 사용자 개인정보 보호를 위한 합법적인 목적으로도 사용됩니다.
• **익명성을 위한 프록시 사용**: SOCKS 프록시 사용(`socks5h://`, `socks5://`, 또는 `socks4a://`로 표시됨)은 인터넷 트래픽을 익명화하려는 시도일 수 있습니다. 프록시 사용은 일반적이며 본질적으로 악의적이지 않지만, onion 서비스나 다른 잠재적으로 민감한 콘텐츠에 접근하는 맥락에서는 보안 우려를 발생시킬 수 있습니다.
• **잠재적인 회피 기법**: 악의적인 행위자는 이러한 방법(익명화 프록시 및 다크 웹 리소스)을 탐지 회피 또는 공격 중 흔적을 숨기기 위한 전술, 기술, 절차(TTP)의 일부로 사용할 수 있습니다.

**대응**

이 S1 이벤트가 트리거되면 활동의 맥락과 의도를 이해하기 위한 추가 조사가 필요합니다. 이는 다음을 포함할 수 있습니다.

• 다른 의심스러운 활동에 대한 네트워크 로그 검토.
• 이벤트 전후 시스템 행동 분석을 통해 탐지된 행동의 잠재적인 전조나 결과 식별.
• 악성코드나 무단 접근 시도 징후에 대한 시스템 검사.

이 이벤트의 특성상 이러한 지표를 포함하는 모든 활동이 악의적이지는 않다는 이해와 함께 보안 상 경계를 유지하는 것이 중요합니다. 정당한 사용으로는 연구, 개인정보 보호, 또는 보안을 위한 onion 서비스 접근이 포함될 수 있습니다.