위협 헌팅 규칙: DoH를 통한 가능성 있는 C2 연결

현재까지 일 년이 지났습니다. 첫 번째 멀웨어가 DNS-over-HTTPS (DoH)를 교묘히 사용하여 명령 및 제어 인프라의 IP를 검색하려고 시도했습니다. 보안 연구원들은 이것이 심각한 문제가 될 수 있다고 경고하고 이런 악성 트래픽을 감지할 수 있는 해결책을 찾기 시작했습니다. 점점 더 많은 멀웨어가 이 프로토콜이 Chrome과 Opera에서 사용될 수 있기 때문에 DoH 트래픽으로 전환하고 있으며, Mozilla는 이미 미국 사용자에 대해 이 기능을 기본으로 활성화했습니다.

그리고 이제 이란 APT 그룹이 2020년 5월부터 사이버 스파이 캠페인에서 이 프로토콜을 사용하고 있음이 알려졌습니다. Oilrig 그룹(aka APT34 또는 Helix Kitten)은 약 6년 동안 운영되고 있으며, 보안 연구원들은 정기적으로 이 APT 그룹과 관련된 새로운 도구를 발견하고 있습니다. 최근 공격에서그들은 DNSExfiltrator라는 새로운 도구를 사용하여 침입된 네트워크에서 데이터 전송을 실시하였습니다. 이 도구는 두 지점 간에 DNS-over-HTTPS 프로토콜을 사용하여 데이터를 전송할 수 있으며, Oilrig은 내부 네트워크를 가로질러 데이터를 횡단 전송한 다음 외부 지점으로부터 데이터를 유출합니다. 

Roman Ranskyi가 개발한 새로운 독점 Sigma 규칙은 보안 솔루션이 DoH 프로토콜을 통한 가능한 C2 연결을 발견할 수 있게 해줍니다: https://tdm.socprime.com/tdm/info/vca6bLP2KT5O/LCVlxGYBqjf_D59HzzMe/?p=1

해당 규칙은 다음 플랫폼에 대해 번역이 제공됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

NTA: Corelight

MITRE ATT&CK: 

전술: 명령 및 제어

기법: 일반적인 사용 포트(T1043), 표준 애플리케이션 계층 프로토콜(T1071)

SOC Prime TDM을 사용해 볼 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자체 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.