Criminal IP ASM

구독
다운로드 4
업데이트 2025. 2. 10.

신규 IP 자산 탐지

Criminal IP ASM에서 신규 IP 자산을 발견하는 경우 탐지합니다.

쿼리

Criminal IP ASM의 최근 1일 IP 자산 스캔 기록에서 어제 이후 새로 발견된 IP 자산을 필터링하여 탐지합니다.

criminal-ip-asm-ip-assets duration=1d 
| search first_seen >= ago("1d") 
| eval domains = strjoin(", ", domains)

메시지

  • 신규 IP 자산 탐지: $host_ip

출력 필드 순서

  • _log_time, group, host_ip, ports, app, first_seen, country, asn, domains, is_risk, is_new, cve, vuln_count, description, screenshots, last_seen, collection_method

위협 분석

  • 공격자는 Criminal IP ASM과 동일한 방식으로 인터넷에 노출된 조직의 IP 자산을 탐색할 수 있습니다. 공격자는 IP 주소를 통해 조직의 규모, 물리적 위치, 인터넷 서비스 제공업체, 호스팅 위치 및 방법 등 조직에 대한 세부 정보를 파악할 수 있습니다.
  • 공격자는 인터넷에 노출된 정보를 수집할 수 있으며, 애플리케이션이나 서버 버전 정보를 통해 취약점을 확인할 수 있습니다. 특히, 데이터베이스, VPN, 터미널(SSH, RDP, VNC) 포트가 개방되어 있는 경우에는 크리덴셜 스터핑 공격 등을 수행할 수 있으므로 의도하지 않은 포트가 인터넷에 노출되지 않았는지 유의해야 합니다.

오탐 유형

  • Criminal IP ASM에서 초기 도메인(Seed domain)으로부터 발견된 모든 신규 IP 자산을 탐지하므로 의도된 IP 자산의 인터넷 노출인 경우에도 탐지됩니다.
  • CDN 사용 시 도메인에 매핑된 지역별 엣지 서버 (PoP; Point-of-Presence)의 IP 주소가 변경될 수 있습니다. 동적 DNS 구성을 사용하는 경우에도 IP 주소가 자주 변경될 수 있습니다. 이런 경우에는 불필요하게 이벤트가 반복 발생하지 않도록 관련된 도메인 이름을 예외 조건으로 추가하시기 바랍니다.

대응 방안

  • 의도하지 않은 IP 자산이나 포트가 인터넷에 노출된 경우, 방화벽 정책 설정을 변경하여 반드시 필요한 위치에서만 접속하도록 조치합니다.

MITRE ATT&CK