이번 주의 규칙: Azure VM에서의 명령 실행

해당 이번 주의 규칙 섹션에서는 Azure VM에서 명령 실행 (azureactivity 통해) SOC 프라임 팀의 규칙을 소개합니다: https://tdm.socprime.com/tdm/info/A5uYMlcWOmeq/RYxlfnIB1-hfOQirCXZy/?p=1#

  공격자는 Azure VM 기능을 악용하여 환경에 발판을 마련할 수 있으며, 이는 권한 상승과 지속적인 접근을 위해 사용될 수 있습니다. 이들은 Azure Windows VM 내에서 PowerShell 스크립트를 실행하는 가상 머신(VM) 에이전트를 사용하는 명령 실행 기능을 악용할 수 있습니다. 이 기능의 악용은 Azure 포털, REST API, Azure CLI 또는 PowerShell을 통해 RDP 또는 SSH 포트가 닫혀 있어도 VM이 접근할 수 없을 때도 명령을 실행할 수 있게 합니다.

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK 스택, RSA NetWitness,

EDR: Elastic Endpoint

MITRE ATT&CK:

전술: 초기 접근, 실행, 지속성, 권한 상승, 방어 회피

기법: 명령줄 인터페이스 (T1059), 중복 접근 (T1108), 유효 계정 (T1078)

Azure VM에서 명령 실행 (azureactivity 통해) 규칙은 세 가지 MITRE ATT&CK 기법을 다룹니다.이 공격을 Azure 인프라에서 성공적으로 수행하고 명령을 실행하려면 해커는 도메인 계정에 접속해야 합니다. 우리는 자격 증명 도용 시도를 발견하는 데 도움을 줄 위협 탐지 마켓플레이스의 이용 가능한 콘텐츠 목록을 제공하고자 합니다.

Windows 자격 증명 관리자에서 자격 증명 수확 (cmdline 통해): https://tdm.socprime.com/tdm/info/41LYkTLe4g4a/iSGyYHIBjwDfaYjKFbEf/

VPN 보안 모니터 규칙 팩: https://my.socprime.com/en/integrations/vpn-security-monitor

Office365 SaaS 플랫폼 보안 모니터링 규칙 팩: https://my.socprime.com/en/integrations/security-monitoring-for-office365-saas-platform-ala

비밀번호 보안 규칙 팩: https://my.socprime.com/en/integrations/password-security-sentinel

브루트 포스 탐지 규칙 팩: https://my.socprime.com/en/integrations/brute-force-detection