Criminal IP ASM

구독
다운로드 4
업데이트 2025. 2. 10.

신규 도메인 탐지

Criminal IP ASM에서 신규 도메인을 발견하는 경우 탐지합니다.

쿼리

Criminal IP ASM의 최근 1일 도메인 자산 스캔 기록에서 어제 이후 새로 등록된 도메인을 필터링하여 탐지합니다.

criminal-ip-asm-domain-assets duration=1d | search first_seen >= ago("1d")

메시지

  • 신규 도메인 탐지: $domain

출력 필드 순서

  • _log_time, profile, risk, domain, first_seen, group, tech_stack, cve, risk_count, vuln_count, x509_expiry, x509_cipher, seed_domain, screenshot_url, collection_method, description, endpoints

위협 분석

  • 공격자가 도메인 등록 기관 서비스 계정을 탈취하는데 성공하면 새로운 도메인을 등록하고, 피싱, 악성코드 배포, 스푸핑 등 다양한 악성 행위에 활용할 수 있습니다.

오탐 유형

  • Criminal IP ASM은 초기 도메인(Seed domain)으로부터 크롤링을 통해 모든 도메인 자산을 수집하므로, 정상적인 절차를 거쳐서 DNS 설정을 변경한 경우에도 신규 도메인이 탐지됩니다. 그러나 신규 도메인 등록은 흔한 일이 아니므로 오탐이 발생하더라도 반드시 확인하시기를 권고합니다.

대응 방안

  • 의도하지 않은 자사의 도메인이 발견된 경우에는 먼저 WHOIS 조회를 통해 등록자 정보, 네임서버 변경 여부를 확인합니다. DNS 레코드(MX, CNAME 등)가 어느 서버로 연결되어 있는지 확인하고, 도메인 등록 기관(Registrar) 로그인 내역에서 공격자가 접근한 흔적이 있는지, 암호가 변경되었는지 확인합니다.
  • 도메인 등록 기관(Registrar)에 즉시 연락하여 도메인 관리 계정이 탈취되었다는 사실을 신고하고, 도메인 잠금, 변경 취소 등 지원을 요청합니다. 가능한 경우에는 DNS 관리 콘솔에 접속하여 공격자가 변경한 설정을 원래대로 복구합니다.
  • 도메인 등록 기관 계정은 2차 인증(Google Authenticator, Yubikey 등)을 활성화하여 사고 재발을 방지합니다.
  • 공격자가 생성한 도메인이 피싱에 사용된 경우, 경찰청 사이버범죄 신고시스템(ECRM)에 신고하고 임직원 및 고객 공지를 통해 해당 도메인에 접속하여 크리덴셜을 입력한 사실이 있는지 확인하고 암호 변경 등 필요한 조치를 수행합니다.

MITRE ATT&CK