GitHub 소유자 권한 부여
기존 계정에 GitHub 소유자 권한이 부여되는 경우 탐지합니다.
쿼리
GitHub 감사 로그에서 실시간으로 소유자 변경 로그를 추출합니다.
| search action == "org.update_member" and permission == "admin"
| rename user as target_user, actor as user, actor_ip as src_ip
메시지
- GitHub 소유자 권한 부여: 관리자 $user, 대상 계정 $target_user
출력 필드 순서
- _log_time, src_ip, user, action, target_user, permission
위협 분석
- 공격자가 관리자 계정을 탈취한 후 조직 내 임의 계정에게 소유자(owner) 권한을 부여할 수 있습니다.
- 소유자 권한은 조직 전체 설정, 보안 정책, 저장소 접근권을 변경할 수 있어 권한 상승 및 지속성 확보에 악용될 수 있습니다.
- 소유자 권한이 비정상적으로 추가되면 조직 전반에 대한 광범위한 조작 및 정보 유출 위험이 발생합니다.
오탐 유형
- 신규 관리자에게 소유자 권한을 정상적으로 부여하는 경우에도 탐지됩니다.
- GitHub 소유자 권한 부여는 자주 발생하지 않으므로, 오탐이더라도 탐지 규칙을 그대로 유지하는 것을 권장합니다.
대응 방안
- 소유자 권한 변경이 승인된 작업인지 즉시 확인합니다.
- 권한을 부여한 관리자 계정의 IP 주소, 유저 에이전트, MFA 적용 여부를 점검합니다.
- 의도하지 않은 권한 변경이 발생한 경우 즉시 소유자 권한을 회수하고, 관리자 계정을 비활성화하거나 토큰을 파기합니다.
- 해당 관리자 계정으로 동일 시점에 발생한 비정상 저장소 생성, 워크플로우 변경, 권한 부여 등 연관 이벤트를 추가 조사합니다.
MITRE ATT&CK
- 전술
- Persistence, Privilege Escalation
- 기법
- 이름: Account Manipulation: Additional Cloud Roles
- ID: T1098.003
- 참조 URL: https://attack.mitre.org/techniques/T1098/003/