권한 상승 | TA0004
목차:
개요 및 분석, 주요 데이터 소스, 그리고 특권 상승을 탐지하는 관련 Sigma 규칙
SOC 프라임 글로벌 사이버 보안 커뮤니티의 협력을 조성하고 MITRE ATT&CK에 맞춰 최신 Sigma 규칙을 큐레이션합니다.® 프레임워크로 팀이 가장 예상하는 위협에 집중할 수 있게 합니다. 최근에 출시된 온디맨드 구독 으로, SOC 프라임의 플랫폼을 통해 보안 실무자들은 조직별로 관련성이 높은 공격 벡터에 대한 탐지 코드를 즉시 액세스할 수 있습니다. 이 블로그 기사에서는 특권 상승(TA0004) 전술의 개요와 분석을 다루고, 이 ATT&CK 전술을 다루기 위한 Sigma 규칙을 탐구할 것입니다.
특권 상승(TA0004)이란 무엇인가?
공격자는 다양한 목표를 갖고 있지만, 일반적으로 중요한 시스템의 기밀성, 무결성 또는 가용성에 영향을 미칩니다. 특권 상승은 손상된 시스템 내에서 더 높은 신뢰를 얻는 행위입니다. 이러한 신뢰는 새로운 호스트로의 횡이동이나 보호된 데이터를 읽거나 변경하는 등 이후의 행동을 취할 수 있게 합니다.
특권 상승 탐지 콘텐츠
특권 상승을 탐지하는 것은 단일 규칙에 국한될 수 없는 복잡한 프로세스로, 새로운 기술, 도구 및 구현이 등장할 때마다 다양한 탐지 알고리즘을 필요로 합니다.
Sigma는 가장 인기 있는 SIEM & XDR 솔루션에 적용할 수 있는 탐지 콘텐츠를 개발하는 데 사용할 수 있는 위협 사냥 쿼리를 표현하는 사실상의 표준으로 작용합니다. 방문하세요 Sigma 저장소 GitHub에서 더 많은 세부정보를 얻거나 탐험하세요 Sigma가 벤더 중립적이고 장래성을 갖춘 산업 표준으로서 사이버 보안을 어떻게 변화시키는지
활용하여 Uncoder.IO, 팀은 Sigma 규칙을 선택한 보안 솔루션으로 즉시 번역할 수 있습니다. 또는 명령줄 인터페이스를 사용하여, Sigma 규칙을 선택한 언어 형식으로 변환할 수 있습니다 SIGMAC 도구를 통해.
아래에서 특권 상승 전술(TA0004)을 다루는 권장 Sigma 규칙을 찾아볼 수 있습니다:
행동 규칙: Windows 디버그 특권 할당됨
SeDebugPrivilege는 Windows 내에서 공격자가 시스템 프로세스를 디버깅하여 로컬 시스템 계정(Windows의 루트에 해당)으로 상승할 수 있는 특권입니다. 이 규칙은 SeDebugPrivilege가 할당된 계정을 식별합니다.
취약점 규칙: 임의 파일의 데이터를 덮어써서 발생할 수 있는 더러운 파이프 특권 상승 [CVE-2022-0847] (auditd를 통해)
CVE-2022-0847 (더러운 파이프)는 비루트 사용자가 임의의 대상 파일의 데이터를 덮어쓸 수 있게 허용하는 취약점입니다. 이 규칙은 auditd의 시스템 호출 이벤트를 활용하여 가능한 공격 시도를 식별합니다.
도구 규칙: cmdline을 통한 가능한 AdvancedRun 실행 패턴
AdvancedRun은 소프트웨어 개발자인 Nir Sofer에 의해 제공되는 프리웨어 도구입니다. 이 도구는 위협 행위자에 의해 로컬 관리자에서 시스템 권한으로 상승하는 데 사용되었습니다.
클라우드 규칙: Azure API 사용 권한 악용 가능성 (via azuread)
Azure Apps는 App 역할 “AppRoleAssignment.ReadWrite.All”을 허용받을 수 있습니다. 이러한 권한으로 앱은 자신에게 모든 API 권한을 제공할 수 있으며, 이는 사용자 역할을 Global Admin으로 변경하는 능력을 포함합니다. 이 규칙은 민감한 App 역할 권한이 허용되는 앱을 식별합니다.
특권 상승 탐지: 가장 일반적인 로그 소스
SOC 프라임의 플랫폼에서 사용할 수 있는 Sigma 규칙은 조직 환경에 맞춘 로그 소스를 다룹니다. 다음은 일반적으로 특권 상승을 탐지하기 위해 필요한 다섯 가지 일반적인 로그 소스입니다.
프로세스 생성
아래에서 가장 일반적인 프로세스 생성 로그 소스를 찾아볼 수 있습니다:
-
Windows 보안 로그
- 4688, 명령줄 세부정보가 포함되어 있는지 확인하십시오
-
Windows 및 Linux용 Sysmon
- 이벤트 ID 1
-
Linux Auditd 로그
- execve 이벤트 유형
-
엔드포인트 탐지 및 대응(EDR) | 확대 탐지 및 대응(XDR)
- 일부 EDR 서비스는 수동 또는 강화된 프로세스 생성 이벤트를 제공하지 않습니다.
서비스 생성 and 일정 작업 생성 데이터 소스
공격자는 일반적으로 특권 상승을 위해 서비스 및 작업을 생성합니다. 서비스는 시스템 권한으로 실행되며, 일정 작업은 관리자가 생성할 수 있습니다. 일정 작업은 일반적으로 시스템으로 실행되도록 생성된 후 짧은 시간 내에 삭제됩니다.
여기에서 몇 가지 일반적인 서비스 및 일정 작업 생성 데이터 소스를 찾아볼 수 있습니다:
-
Windows 보안 로그
- 7045
- 4698
-
엔드포인트 탐지 및 대응(EDR) | 확대 탐지 및 대응(XDR)
- 일부 EDR 서비스는 수동 또는 강화된 일정 작업 / 서비스 생성 이벤트를 제공하지 않습니다
네이티브 클라우드 ID 및 액세스 관리 로그(IAM)
사용자 역할이 변경되면, 클라우드 공급자는 일반적으로 ID 및 액세스 관리 로그에 이러한 변경을 기록합니다. 예를 들어, 구글 클라우드 공급자는 Cloud Audit Logs에 IAM 로그를 포함합니다.
네이티브 클라우드 활동 로그
사용자가 클라우드에서 리소스를 액세스하거나 변경할 때, 일반적으로 액세스를 보여주는 감사 로그가 생성됩니다. 예를 들어, AWS는 CloudTrail 로그를 제공하고, Microsoft는 — AzureActivity 로그를 제공합니다. 적절한 활동 로그는 보안 실무자가 민감한 리소스에 대한 액세스를 감사하는 데 도움을 줄 수 있습니다.
Linux Auditd 로그 및/또는 EDR/XDR 로그에 상응하는 로그
루트 계정에서 발생하는 활동을 감시하기 위해 auditd 나 EDR / XDR로 제공되는 동등한 기능을 사용하십시오.
SOC 프라임은 주로 협업 전문 지식을 생성하며 팀이 점점 증가하는 공격량을 따라잡을 수 있게 하는 두 가지 주요 소스에서 주로 생성됩니다. SOC 프라임의 내부 콘텐츠 개발 팀 및 위협 현상금 프로그램 연구원들이 이 중에 포함 Emir Erdogan, Osman Demir, Nattatorn Chuensangarun, 그리고 Sittikorn Sangrattanapitak, 주로 특권 상승 전술을 다루는 탐지 콘텐츠의 전달에 기여했습니다.
그림 1. 25개 이상의 지원되는 플랫폼에 대한 번역과 함께 특권 상승(TA0004) 전술을 다루는 Sigma 규칙
신규 출시된 온디맨드 구독 은 SOC 프라임의 플랫폼에서 즉각적인 가치를 얻을 수 있도록 설계되어 조직 특정 위협 프로필에 부합하는 탐지 콘텐츠에 직접 액세스를 제공합니다. 이러한 구독의 일환으로 팀은 1,400개 이상의 Sigma 기반 탐지 규칙에 즉시 액세스할 수 있으며, 25개 이상의 SIEM 및 XDR 포맷에 대한 번역이 가능합니다. 온디맨드 구독 등급에 대한 자세한 내용은 https://my.socprime.com/pricing/.
.schedule-call-modal-container iframe { height: 900px !important; width: 100%; border: none; overflow: hidden; } .schedule-call-modal-container .modal-body { padding-top: 0; padding-bottom: 0; border-bottom-right-radius: .3rem; border-bottom-left-radius: .3rem; } @media (min-width: 767px) { .schedule-call-modal-container { max-width: 770px !important; } .schedule-call-modal-container .modal-body { width: 768px; margin: 0 auto; } } @media (max-width: 420px) { .schedule-call-modal-container iframe { height: 751px; } } .h4, h4 { font-size: 1.3rem !important; font-weight: 400!important; margin-bottom: 25px !important; }
