sysmon4 윈도우 프로세스 모니터 데이터 수집을 통한 추적 및 감사 Living Off The Land (LOTL) 공격을 탐지하기 위해 Wazuh를 사용하는 것은 보안 강화를 위해 필요합니다. 아래는 각 유형의 공격을 탐지하기 위한 주요 포인트와 이를 위해 Wazuh에서 사용할 수 있는 룰셋에 대한 설명입니다.취약점 악용 및 무차별 대입 로그인 시도 모니터링설명: 공격자가 시스템에 접근하기 위해 취약점을 악용하거나 무차별 대입 공격을 시도할 수 있습니다. 이러한 시도는 보안 로그에서 비정상적인 로그인 시도 또는 취약점 악용 시도로 나타날 수 있습니다.탐지 룰셋- rule: id: 100001 level: 12 description: "Brute force attack detected" status: "enabled" decoded_as: "j.. 2024. 9. 7. Linux 시스템에서 Sysmon을 통한 지속성 탐지 모니터링 Sysmon(System Monitor)은 Microsoft의 도구로, 시스템에서 실행된 프로세스, 네트워크 연결, 파일 생성 등 다양한 이벤트를 기록하는 데 사용됩니다. 원래 Windows용으로 개발되었으나, 최근에는 Linux 버전도 제공되고 있습니다. Sysmon for Linux는 eBPF를 사용하여 시스템 콜을 모니터링하고, 높은 유연성과 표현력을 가진 규칙 정의를 통해 다양한 보안 이벤트를 기록할 수 있습니다.설치 및 기본 설정Sysmon for Linux 설치Sysmon for Linux는 소스 코드로 제공되므로, 컴파일하여 설치해야 합니다.git clone https://github.com/Sysinternals/SysmonForLinux.gitcd SysmonForLinuxmakesudo.. 2024. 8. 16. Wazuh(OSSEC) 운영에 대한 상세 설명 및 운영 예시 1. Endpoint Detection and Response (EDR)Endpoint Detection and Response(EDR)은 위협이나 보안 침해를 나타낼 수 있는 활동을 모니터링하는 도구와 애플리케이션의 집합입니다. EDR 도구와 애플리케이션의 주요 기능은 다음과 같습니다.일반 취약점 점검: 기기에 대한 감사 수행프로액티브 모니터링: 무단 로그인, 브루트 포스 공격, 권한 상승과 같은 의심스러운 활동 모니터링데이터 시각화: 복잡한 데이터와 이벤트를 깔끔한 그래프로 시각화정상 운영 행동 기록: 이상 탐지에 도움2. Wazuh 개요Wazuh는 2015년에 만들어진 오픈 소스, 무료 EDR 솔루션입니다. 다양한 보안 기능을 제공하며, 특히 다음과 같은 기능을 갖추고 있습니다.실시간 보안 정보와 .. 2024. 8. 6. Windows NT 경로 변환 로직을 악용한 취약점 탐지 및 방어 방안 이번에 설명할 취약점은 Windows NT 경로 변환 로직을 악용하여 악성 행위자가 파일, 디렉터리, 및 프로세스를 숨기고 가장하는 루트킷 유사 기능을 사용할 수 있게 합니다. 주요 취약점은 경로 내에 존재하는 점(.)과 공백을 NT 경로로 변환하는 과정에서 제거하면서 발생합니다.취약점 상세NT 파일 시스템에서는 파일 이름이나 경로에 포함된 점(.)이나 공백 등을 정상적으로 무시하는 경우가 있습니다. 예를 들어, c:\windows.\system32\svchost.exe와 같은 경로에서 windows. 뒤의 점이 무시되고, 실제 파일 경로는 c:\windows\system32\svchost.exe로 처리될 수 있습니다. 이를 악용하면, 악성 코드가 정상적인 시스템 프로세스로 가장하고 탐지를 회피할 수 있.. 2024. 7. 23. 이전 1 다음 728x90
