이 예제 시나리오에서는 MS17-010에 대해 패치가 적용되지 않은 시스템의 취약성에 대한 검색 시도를 나타내는 SMB 트래픽을 감지하는 사용자 지정 서명을 생성하려고 합니다(WannaCry와 같은 맬웨어에 의해 악용될 수 있음).

사전 요구 사항

업로드된 사용자 지정 서명이 지원되는 Suricata 키워드만 사용하는지 확인합니다. 승인된 목록에 없는 키워드는 구문 분석할 수 없으므로 지원되지 않는 키워드를 사용하면 서명이 유효하지 않게 됩니다.

프로시저

  1. 다음 방법 중 하나로 사용자 지정 서명을 업로드할 수 있습니다.

    • 사용자 지정 서명 번들이 이미 업로드된 경우 먼저 .zip 형식의 번들을 로컬 시스템으로 내보냅니다. 그런 다음, 번들에 새 사용자 지정 서명을 추가하고 다시 업로드합니다.

    • IDS 서명을 추가하여 사용자 지정 서명을 수동으로 추가할 수 있습니다.

    • 시스템 서명을 복제하고 서명을 사용자 지정합니다.

  2. 사용자 지정 서명을 수동으로 추가해 보겠습니다. NSX Manager UI에서 보안 > IDS/IPS 및 Malware Prevention([정책 관리] 섹션 아래에 있음)으로 이동하고 서명 관리 > 사용자 지정 서명을 선택합니다.
  3. +추가를 클릭하고 수동으로 추가를 클릭합니다.
  4. [수동으로 사용자 지정 서명 추가] 창에서 서명 추가를 클릭하고 사용자 지정 서명을 입력하거나 붙여넣은 다음, 추가를 클릭합니다. [서명 추가]를 클릭하여 서명을 더 추가할 수 있습니다. 번들의 일부가 될 서명을 모두 추가한 후 저장을 클릭합니다. 예를 들면 다음과 같습니다. 
    alert tcp $HOME_NET any -> $EXTERNAL_NET 445 (msg:"NSX - Detect Potential SMB probe for MS17-010 patch"; flow:established,to_server; target:src_ip; content:"|00|"; depth:1; content:"|FF|SMB"; within:7; content:"|23 00 00 00 07 00 5C|PIPE|5C 00|"; within:110; threshold: type limit, track by_src, seconds 10, count 10; metadata:ll_expected_verifier default, flip_endpoints False, server_side False, threat_class_name Suspicious Network Interaction, threat_name Potential SMB probe for MS17-010 patch, ids_mode INFO, blacklist_mode DISABLED, exploited None, confidence 50, severity 20, detector_id 63681, signature_severity Informational; reference:url,www.lastline.com; classtype:trojan-activity; sid:1063681; rev:6499; priority:5; flowbits:set,CS.LL.verifier_tcp_successful; flowbits:set,CS.LL.verifier_tcp_failed; flowbits:set,CS.LL.verifier_tcp_blocked;)
  5. NSX IDS/IPS에서는 새로 추가된 서명에 대한 유효성 검사 프로세스를 자동으로 시작합니다. 서명 검증자는 규칙의 유효성을 평가하고 규칙의 유효성을 평가하여 유효, 유효하지 않음 또는 주의로 분류합니다. 기본적으로 주의 서명은 검증 프로세스에서 제외됩니다. 전송 노드로 푸시하려는 경우 포함하기 위해 명시적으로 선택해야 합니다. 유효하지 않음 서명이 게시되었지만 NSX Manager에 저장되고 전송 노드로 푸시되지 않습니다. 그러나 잘못된 서명과 관련된 문제를 해결한 후 다시 검증해야 게시할 수 있습니다.
  6. 게시를 클릭합니다.
  7. 전송 노드에서 게시된 서명을 볼 수 있는지 확인합니다.
  8. IDS/IPS 및 Malware Prevention 페이지에서 프로파일을 선택합니다. 새 사용자 지정 프로파일을 추가하거나 기존 프로파일을 편집하여 사용자 지정 서명을 포함할 수 있습니다. 프로파일을 추가하거나 편집할 때는 사용자 지정 서명에 심각도를 할당해야 합니다.
  9. 규칙이 사용자 지정 서명 프로파일에 적용되었는지 확인합니다.
  10. 악의적인 트래픽이 MS17-010에 대해 패치가 적용되지 않은 시스템의 취약성을 조사하려고 하면 IDS가 의심스러운 작업에 대한 경고를 생성합니다.




  11. [감지된 위치] 필드에는 패치가 적용되지 않은 시스템을 악용하려는 검색 시도가 있었던 VM이 나열됩니다.


  12. MS17-010에 대해 패치가 적용되지 않은 시스템의 취약성을 방지하려면 이러한 VM에 패치를 적용합니다.