악의적 활동 모델에서는 엔터프라이즈 네트워크 내에서 악의적인 사용자가 손상시키고 조작하기 위해 수행할 수 있는 작업을 설명합니다. NSX Network Detection and Response 애플리케이션은 MITRE의 악의적 전술, 기술 및 공통 지식(ATT&CK™) 모델을 사용하여 악의적인 동작을 설명합니다. 이 모델에서 악의적인 사용자가 사용할 수 있는 기술은 공격 수명주기의 여러 단계에 해당하는 여러 가지 전술적 범주로 그룹화될 수 있습니다.

시스템에서 감지된 각 이벤트와 연결된 활동은 특정 공격 단계에 연결될 수도 있으며 수명주기의 캠페인 진행률을 표시할 수도 있습니다. (다른 공격 단계에서 발생한 활동이 특정 공격 단계에 연결되지 않을 수도 있습니다.) 현재 다음과 같은 공격 단계가 사용됩니다.

이러한 상관관계 규칙은 NSX Advanced Threat Prevention 클라우드 서비스에서 실행되기 때문에 NSX 릴리스 주기와 관계없이 향상되거나 확장될 수 있습니다. 또한 상관관계 규칙 목록 또는 규칙의 특정 동작은 시간에 따라 변경될 수 있습니다.

다음은 현재 지원되는 상관관계 규칙입니다.

이상 징후 이벤트

이 규칙은 NSX 의심스러운 트래픽 기능의 감지 이벤트와 더 높은 영향을 미치는 감염 유형 이벤트 간에 상관관계를 지정합니다. 예를 들어 NSX 의심스러운 트래픽 기능의 이상 징후 이벤트는 동일한 호스트에 대한 강력한 네트워크 이벤트와 일치합니다.

반출

이 규칙은 감염 유형 이벤트 다음에 오는 반출 이벤트의 상관관계를 지정합니다. 예를 들어 명령 및 제어 네트워크 이벤트 다음에는 데이터 반출로 알려진 네트워크 이벤트가 발생합니다.

파일 전송(해시 기반)

이 규칙은 악성 파일 전송의 상관관계를 지정합니다. 예를 들어 네트워크의 여러 호스트에 동일한 악성 파일이 다운로드되면 규칙은 이러한 모든 전송을 침입과 연관 짓습니다. 악성 파일 전송의 유사성은 전송된 파일의 SHA-1 해시에 따라 결정됩니다.

파일 전송(분석 태그 기반)

이 규칙은 악성 파일 전송의 상관관계를 지정합니다. 예를 들어 네트워크의 여러 호스트에 동일한 악성 파일이 다운로드되면 규칙은 이러한 모든 전송을 침입과 연관 짓습니다. 악성 파일 전송의 유사성은 파일의 분석 작업과 연결된 태그에 따라 결정됩니다.

취약점 검사

이 규칙은 모두가 잠재적으로 취약점 검사를 나타낼 수 있는 여러 유형의 네트워크 이벤트 간 상관관계를 파악합니다. 예를 들어 단일 호스트에서 하나 또는 여러 개의 내부 대상 호스트로 향하는 여러 아웃바운드 송신 유형 또는 NTA 이벤트가 관찰됩니다.

웨이브

이 규칙 그룹은 특정 기간 내에 네트워크를 통해 여러 호스트에서 동일한 공격(즉, 동일한 위협에 대한 인시던트)이 관찰되는 공격 "웨이브"를 식별합니다.

이 규칙 그룹은 동일한 명령 및 제어 인프라의 일부가 되었거나 동일한 공격 벡터(예: 드라이브 바이 공격 또는 맬웨어 분산 공격)에 노출된 호스트를 네트워크에서 식별하는 데 유용합니다. 따라서 이러한 규칙은 명령 및 제어, 드라이브 바이, 맬웨어 분산, 싱크홀, 가짜 AV 및 암호화 마이닝 클래스의 위협으로 제한됩니다.

이 그룹의 규칙은 다음과 같은 경우에 트리거됩니다.

• 위협 클래스가 명령 및 제어이며 여러 호스트에 영향을 미치는 네트워크 서명 이벤트가 있습니다.

• 위협 클래스가 맬웨어 분산이고 여러 호스트에 영향을 미치는 네트워크 서명 이벤트가 있습니다.

• 위협 클래스가 드라이브 바이이고 감지가 발생한 항목(IP 주소 또는 호스트 이름)이 동일하여 여러 호스트에 영향을 미치는 네트워크 서명 이벤트가 있습니다.

• 동일한 항목(IP 주소 또는 호스트 이름)에 대한 악의적 신뢰도 이벤트가 있으며 위협 클래스는 명령 및 제어이므로 여러 호스트에 영향을 미칩니다.

• 동일한 항목(IP 주소 또는 호스트 이름)에 대한 악의적 신뢰도 이벤트가 있으며 위협 클래스는 맬웨어 분포이므로 여러 호스트에 영향을 미칩니다.

이 경우 상관관계 기간은 3일로 설정됩니다. 따라서 서로 다른 호스트에 영향을 미치는 동일한 위협의 두 인시던트는 이 제한된 시간 범위 내에서 발생하는 경우 관련된 것으로 간주됩니다.

확인된 드라이브 바이

이 규칙 그룹은 내부 호스트가 성공적인 드라이브 바이 공격에 노출되는 캠페인을 식별합니다. 호스트에 대한 드라이브 바이 공격 다음에 명령 및 제어, 맬웨어 다운로드, 싱크홀 또는 가짜 AV 활동이 수행될 경우 성공으로 간주됩니다. 이 그룹의 규칙은 다음과 같은 경우에 트리거됩니다.

• 드라이브 바이 바로 다음에 맬웨어 다운로드 활동이 나오는 경우: 성공적인 브라우저 익스플로잇으로 인해 즉시 다운로드될 것으로 예상되므로 상관관계 기간은 10분입니다.

• 드라이브 바이 바로 다음에 가짜 AV 활동이 나오는 경우: 가짜 AV 활동 다음에 드라이브 바이 익스플로잇이 즉시 진행될 것으로 예상되므로 상관관계 기간은 10분입니다.

• 드라이브 바이 바로 다음에 명령 및 제어 활동이 나오는 경우: 명령 및 제어 채널을 설정하는 데 다소 시간이 걸릴 수 있으므로 상관관계 기간은 4시간입니다.

• 드라이브 바이 바로 다음에 싱크홀 활동이 나오는 경우: 명령 및 제어 채널을 통해 싱크홀 처리된 악의적인 서버에 대한 활동을 설정하는 데 다소 시간이 걸릴 수 있으므로 상관관계 기간은 4시간입니다.

확인된 파일 다운로드

이 규칙 그룹은 호스트에서 악성 파일이 다운로드되고 성공적으로 실행되는 캠페인을 식별합니다. 다운로드 직후에 파일 분석 동안 관찰된 활동과 일치하는 활동에 대한 네트워크 이벤트가 있는 경우 다운로드된 파일이 호스트에서 성공적으로 실행된 것으로 간주됩니다.

특히 파일 분석은 분석 중에 관찰된 활동을 구분하기 위해 두 가지 정보를 추가로 제공할 수 있습니다.

맬웨어 정보

파일 동작이 잘 알려진 위협의 동작과 일치하면 맬웨어 이름을 사용할 수 있게 됩니다.

네트워크 IoC 정보

분석하는 동안 샘플이 네트워크 서명 또는 위협 인텔리전스와 일치하는 네트워크 트래픽을 생성하는 경우 트래픽 표시기를 사용할 수 있습니다. 즉, 악의적인 평판 및 네트워크 서명 일치에 대한 정보가 제공됩니다.

이 그룹의 규칙은 파일 분석에서 파생된 정보 유형에 따라 다음 두 경우에 트리거됩니다.

• 맬웨어 기반 사례

  • 파일이 호스트에 다운로드됩니다.

  • 파일 분석은 파일이 특정 위협(예: Emotet 맬웨어)을 야기하는 것을 확인합니다.

  • 나중에 파일을 다운로드한 호스트에 대해 동일한 위협(즉, Emotet)에 대한 네트워크 이벤트가 감지됩니다.

• 네트워크 IoC 기반 사례

  • 파일이 호스트에 다운로드됩니다.

  • 파일 분석은 파일의 네트워크 IoC를 식별합니다.

  • 나중에 파일을 다운로드한 호스트가 파일에 대해 추출된 악의적인 평판 IoC에 포함된 IP 주소 또는 호스트 이름에 연결하려고 시도하며 이 트래픽은 네트워크 서명과 일치합니다.

NSX Network Detection and Response 애플리케이션은 이 경우 상관관계 기간을 3일로 설정합니다.

수평 이동

이 규칙 그룹은 공격자가 일부 호스트를 손상시켜 네트워크에서 "거점"을 설정한 다음, 네트워크 내에서 수평으로 이동하면서 추가 호스트를 손상시키려 시도하는 캠페인을 식별합니다.

이 그룹은 두 개의 규칙으로 구성되며 각 규칙은 수평 이동 캠페인의 별도 단계를 감지합니다.

송신 수평 이동

이 규칙은 홈 네트워크에 있는 호스트에서의 송신 수평 이동 활동과 수평 이동 감지 이전(상관관계 기간 내)에 해당 호스트에서 발생한 감염 간의 상관관계를 파악합니다.

수신 수평 이동

이 규칙은 구성된 홈 네트워크에 있는 호스트로의 수신 수평 이동 활동과 수평 이동 감지 후 동일한 호스트에서 발생한 초기 손상(명령 및 제어, 프로빙 및 자격 증명 수집) 후에 일반적으로 관찰되는 활동 간의 상관관계를 파악합니다.

이러한 규칙은 홈 네트워크 내의 호스트에만 트리거됩니다. 즉, 수평 이동 활동의 소스 및 대상 호스트가 모두 홈 네트워크에 속하는 경우에만 이 캠페인이 생성됩니다. 홈 네트워크가 구성되지 않은 경우 기본적으로 RFC1918 범위가 사용됩니다.

INFO 이벤트 승격

NSX Network Detection and Response 애플리케이션은 보호된 네트워크에서 분석가의 관심을 끌 수도 있지만 악의적이지 않을 수 있는 몇 가지 활동을 검색합니다. 이러한 감지는 "이벤트 결과" 필터의 적절한 값을 설정하여 볼 수 있는 INFO 이벤트를 생성합니다.

NSX Network Detection and Response 애플리케이션은 상관관계를 파악할 때 INFO 이벤트를 고려하지 않습니다.

이러한 감지에서 나타나는 문제는 NSX Network Detection and Response 애플리케이션이 감지한 네트워크에 따라 동일한 INFO 이벤트 활동이 정상이거나 매우 의심스러울 수 있다는 것입니다. 예를 들어 이 도구가 정상적인 관리 목적으로 사용되는 환경에서는 RDP(원격 데스크톱 프로토콜)의 사용이 정상적일 수 있지만, 달리 사용되면 공격자가 희생자 호스트를 원격으로 제어하려고 시도할 수도 있다는 매우 의심스러운 표시일 수 있습니다.

이상 감지 논리는 모니터링되는 네트워크와 관련된 특정 소스 호스트 및 대상 호스트에 대해 특정 종류의 INFO 감지가 비정상적인 경우를 확인할 수 있습니다. 시스템에서 INFO 감지가 비정상적인 것으로 확인되면 이벤트가 "감지" 모드로 승격되고 결과적으로 일반 이벤트 간에 표시됩니다. 이 시나리오는 수평 이동 활동이 감지될 때 INFO 이벤트가 생성되기도 하므로 수평 이동에 대한 상관관계 규칙 컨텍스트와 관련이 있습니다.

홈 네트워크

홈 네트워크 구성은 캠페인 상관관계 규칙에 다음과 같은 영향을 미칩니다.

• 모든 캠페인 상관관계 규칙은 홈 네트워크 외부의 호스트에서 발생한 이벤트를 무시합니다.

• 홈 네트워크가 구성되지 않은 경우 시스템은 기본적으로 RFC1918 범위를 따릅니다.

홈 네트워크는 보안 > 일반 설정 > 개인 IP 범위에 구성되어 있습니다.

호스트 대기

호스트 대기 구성은 캠페인 상관관계 규칙에 다음과 같은 영향을 미칩니다.

• 호스트 대기가 구성된 경우 모든 캠페인 상관관계 규칙은 대기 호스트에서 발생한 이벤트를 무시합니다.

• 호스트 대기가 구성되지 않은 경우 이벤트에서 감지된 모든 소스 호스트는 상관관계가 적용되는 것으로 간주됩니다.

캠페인에 활동을 포함해야 할 호스트가 호스트 대기에 잘못 포함되지 않게 하려면 호스트 대기 구성을 확인해야 합니다.

증거는 다음 정보를 포함합니다.

기본 감지 증거: 네트워크

증거 유형 REPUTATION

알려진 위협과 연결된 IP 또는 도메인에 대한 네트워크 트래픽이 감지되었음을 나타냅니다.

[SUBJECT] 필드와 IP 주소 또는 도메인이 표시됩니다. 예: 신뢰도: evil.com(참조 이벤트), 6.6.6.6(참조 이벤트) 또는 bad.org(참조 이벤트).

이러한 잘못된 도메인 및 IP 주소는 일반적으로 차단됩니다. 가능한 경우 추가 신뢰도 정보가 표시됩니다.

IP 주소에는 위치가 주석으로 표시될 수 있습니다(국가 플래그).

증거 유형 SIGNATURE

알려진 위협의 네트워크 서명과 일치하는 네트워크 트래픽이 감지되었음을 나타냅니다.

일치하는 서명의 이름/고유 식별자인 [감지기] 필드가 표시됩니다. 예를 들면 Detector: et:2014612 또는 Detector: llrules:1490720342088입니다.

증거 유형 ANOMALY

비정상적인 것을 감지한 휴리스틱을 기준으로 감지가 진행된다는 점을 제외하고 SIGNATURE와 비슷합니다. 예를 들면 Anomaly: anomaly:download_smb와 같습니다.

증거 유형 FILE DOWNLOAD

악의적이거나 의심스러운 파일이 다운로드되었습니다.

task_uuid, 분석 식별자(샌드박스에 표시) 및 해당 분석의 점수인 severity가 표시됩니다. 예를 들면 File download: a7ed621와 같습니다.

다음은 참조 이벤트의 추가 선택적 정보를 나열합니다.

• 파일이 다운로드된 URL

• 파일 유형(일반적으로 실행 파일)

• 파일 이름

증거 유형 UNUSUAL_PORT

일반적이지 않으며 이 특정 위협에 대해 예상되는 포트에 해당하는 TCP 또는 UDP 포트가 사용되고 있음을 나타냅니다.

비정상적인 포트를 사용한 트래픽과 관련된 IP 주소 또는 도메인이 [SUBJECT] 필드에 표시됩니다.

증거 유형 URL_PATH_MATCH

URL 경로를 기준으로 감지된다는 점을 제외하고 UNUSUAL_PORT와 유사합니다. 예를 들어 http://evil.com/evil/path?evil=threat는 URL의 /evil/path 부분 때문에 감지가 트리거됩니다.

증거 유형 DGA

DGA는 일부 맬웨어에서 사용하는 방식인 "도메인 생성 알고리즘"을 의미합니다. 여기서 맬웨어는 명령 및 제어를 위한 소수의 도메인을 사용하는 대신, 매일 수천 개의 새로운 임의 조회 도메인을 생성하는 알고리즘을 포함합니다. 그런 다음, 각각에 연결하려고 시도합니다. 맬웨어를 제어하기 위해 해커는 이러한 도메인 중 하나 또는 일부를 등록합니다. 이러한 많은 도메인의 확인 시도로 인해 네트워크에서 DGA가 사용되는 경우를 자주 확인할 수 있습니다.

확인되는 DGA 알고리즘에서 여러 잘못된 도메인이 감지되면 현재, 일반 신뢰도 증거 외에 DGA 증거도 사용됩니다.

여러 이벤트의 상관관계에서 얻는 증거

여러 이벤트의 상관관계에서 얻는 증거

호스트에서 여러 네트워크 이벤트를 조합할 때 위협이 올바르게 감지될 신뢰도가 높아지는 경우 다음 증거 유형이 생성됩니다. 예를 들어 동일한 악의적 평판 항목이 연결되거나 동일한 네트워크 서명이 트리거되는 것과 같은 증거 유형이 나타날 수 있습니다.

이러한 각 경우에 위협에는 다음과 같이 태그가 지정될 수 있습니다.

• Repeated: 특정 위협이 세 번 이상 발생했습니다.

• Periodic: 특정 위협도 정기적으로 발생하는 것으로 나타났습니다.

해당 신뢰도/서명 증거에 레이블이 표시됩니다.

REPUTATION 증거의 예에서 bad.org에 대한 반복되는 주기적인 증거를 감지하면 REPEATED 또는 PERIODIC 태그가 표시됩니다.

증거 유형 CONFIRMED_EXECUTION

MALICIOUS FILE DOWNLOAD와 같은 위협과 관련이 있습니다. 이것은 다운로드한 파일이 실제로 실행되었음을 확인하는 네트워크 동작이 해당 파일을 다운로드한 호스트에서 감지된 것을 의미합니다.

즉, 다음이 적용됩니다.

• 악성 파일이 호스트 1.2.3.4에 다운로드되었습니다.

• 이 파일을 샌드박스에서 실행하면 evil host evil.com에 연결됩니다.

• 잠시 후에 호스트 1.2.3.4에서 evil.com으로의 명령 및 제어 트래픽이 확인되어 악성 파일이 실행되었음을 나타냅니다.

연결된 참조 이벤트는 파일이 다운로드된 위치에 대한 것입니다.

추가 증거를 통해 파일에 대한 다음 정보와 같은 위협을 확인할 수 있습니다.

• 작업 UUID

• 점수

• 파일 이름

• 파일을 다운로드한 URL

증거 유형 CONFIRMED_C&C

CONFIRMED_EXECUTION과 유사하게, 이 증거는 호스트가 이전에 해당 위협용 파일을 다운로드했기 때문에 지정된 위협에 대한 명령 및 제어 감지에 추가됩니다.

증거 유형 CONFIRMED_DRIVE_BY

드라이브 바이 공격이 감지된 후 공격이 성공했음을 나타내는 표시가 나타나는 상황에서 이 증가 유형이 추가됩니다. 예:

• 호스트 1.2.3.4는 드라이브 바이 공격의 희생양인 것 같습니다.

• 잠시 후에 호스트 1.2.3.4에서 다음 중 하나를 수행했습니다.

  • 악성 파일을 다운로드했습니다.

  • 명령 및 제어 트래픽을 수행했습니다.

이 증거는 초기 드라이브 바이 이벤트의 참조 이벤트에 추가됩니다.

증거 유형 DRIVEBY_CONFIRMATION

CONFIRMED_DRIVEBY 증거와 유사하게, 이 증거는 드라이브 바이 공격 직후에 발생한 악의적인 파일 다운로드 또는 명령 및 제어 감지에 대한 참조 이벤트로 추가됩니다.