시그마 규칙 및 자격 증명 수집 탐지 소개

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, 를 클릭하여 보고서를 PDF로 다운로드하세요.

레코디드 퓨처의 인식트 그룹은 인기 있는 4가지 인증정보 수집 도구에 대한 SIEM 소프트웨어와 사고 대응 가이드에서 실행할 수 있는 탐지를 만들었습니다. 레코디드 퓨처® 플랫폼, 말피디아, 폴리스웜, 리버스 엔지니어링, 오픈소스 인텔리전스(OSINT) 강화 등의 출처가 포함되었습니다. 이 연구의 대상에는 인증정보 수집 도구로부터 조직을 보호하는 데 관심이 있는 보안 실무자, 네트워크 방어자, 위협 인텔리전스 전문가가 포함됩니다.

Executive Summary

인증정보 수집 도구의 사용은 위협 공격자가 인프라에 추가로 액세스할 수 있는 일반적이고 강력한 방법입니다. 최근 발생한 류크 사건의 세부 사항은 피해자를 침해하는 15단계 절차를 보여주며, 그 중 2개는 인증정보 수집 도구인 미미카츠와 라자뉴를 사용했습니다. 이러한 도구는 피해자의 환경 전체에서 측면으로 이동하여 네트워크의 다른 호스트를 손상시키는 데 사용되었습니다.

이 문서에서는 미미카츠, 라자뉴, 티랫 2.0, 오스노 스틸러에 대한 시그마 기반 탐지 규칙에 대한 연구를 자세히 설명합니다. 또한 보안 운영팀이 인증정보 탈취 사고에 대응할 수 있도록 초기 사고 우선순위 수준과 높은 수준의 대응 절차를 제공합니다.

오픈 소스 시그마 프로젝트에서 제공하는 시그마 규칙과 Recorded Future에서 개발한 사용자 지정 규칙(기존 고객만 사용 가능)은 기존 SIEM 솔루션을 사용하여 자격 증명 수집을 탐지하고 대응할 수 있는 강력한 기능을 제공합니다. 시그마 규칙을 적절하게 구성된 호스트 기반 로깅과 결합하여 Sysmon과 같은 도구를 사용하면 조직의 위협 탐지 및 대응 능력을 향상시키고 정확성과 효율성을 높일 수 있습니다.

시그마는 표준화된 규칙 구문으로, 다양한 SIEM 지원 구문 형식으로 변환할 수 있습니다. 레코딩된 미래 플랫폼을 통해 고객은 인식트 그룹에서 개발한 시그마 규칙에 액세스하고 다운로드하여 조직에서 사용할 수 있습니다.

주요 판단

• 대부분의 인증정보 탈취 도구는 측면 이동 및 권한 상승과 같은 추가적인 전술, 기술 및 절차(TTP)를 가능하게 하기 때문에 위험성이 높으며, 일반적으로 인증정보 탈취 도구는 2단계 도구로 사용되며 호스트가 이미 손상되었음을 나타냅니다.
• 자격 증명 수집 활동을 성공적으로 탐지하고 대응하면 침입자가 목표를 성공적으로 완료하지 못할 수 있습니다.
• 시그마 규칙은 여러 플랫폼 간에 탐지를 공유하는 효과적인 방법입니다. 시그마 규칙과 함께 기록된 미래 우선순위 수준 및 대응 절차를 사용하면 사이버 보안 팀이 쉽게 구현할 수 있는 탐지 및 대응 기능을 제공합니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽어보려면 여기를 클릭하세요, 를 클릭하여 보고서를 PDF로 다운로드하세요.