Google Workspace 관리자가 다른 사용자를 관리자로 역할을 변경한 경우 탐지합니다.

쿼리

작업 이름이 ASSIGN_ROLE 에 해당되는 관리 작업 감사 로그 중에서 역할 이름이 ADMIN_ROLE로 끝나는 경우 실시간으로 탐지합니다.

| search action == "ASSIGN_ROLE" 
| eval role_name = strjoin("", foreach(if(valueof(_1, "name") == "ROLE_NAME", valueof(_1, "value"), ""), params))
| eval target_user = strjoin("", foreach(if(valueof(_1, "name") == "USER_EMAIL", valueof(_1, "value"), ""), params))
| search role_name == "*ADMIN_ROLE"

메시지

• 관리자 역할 지정: 관리자 $user, 대상 계정 $target_user, 역할 $role_name

출력 필드 순서

• _log_time, src_ip, src_country, src_city, src_asn, user, action, target_user, role_name, req_params

위협 분석

• 공격자가 피싱이나 기타 수법으로 관리자 계정을 탈취한 후, 다른 사용자 계정에 관리자 권한을 부여하여 지속적인 접근 권한을 확보할 수 있습니다.
• 내부자가 의도적으로 자신이나 공모자에게 관리자 역할을 부여하여 민감한 데이터에 접근하거나 시스템 설정을 변경할 수 있습니다.

오탐 유형

• 조직 변경으로 인해 정상적으로 새로운 관리자에게 권한을 부여하는 경우에도 위협으로 탐지됩니다. 그러나 관리자 역할 지정은 자주 발생하지 않으므로 오탐이 발생하더라도 탐지 정책을 유지하고 정당한 관리자 지정 여부를 확인할 것을 권장합니다.

대응 방안

• 관리자 역할 지정은 조직 전반에 중대한 영향을 미칠 수 있으므로 정상적인 역할 지정 여부를 즉시 확인해야 합니다. 특히 근무 시간 외 관리자 역할 지정이 발생한 경우 비정상 행위가 아닌지 검토해야 합니다.
• 의도된 관리자 역할 지정이 아닌 경우, 관리자 계정이 침해된 것이므로 즉시 관리자 계정을 일시 중지하고 로그인을 수행한 출발지 IP 주소를 시작점으로 사고 원인을 조사하여 대응 조치합니다.

MITRE ATT&CK

• 전술
  • Persistence, Privilege Escalation
• 기법
  • 이름: Account Manipulation: Additional Cloud Roles
  • ID: T1098.003
  • 참조 URL: https://attack.mitre.org/techniques/T1098/003/