팔로알토 네트웍스 방화벽

구독
다운로드 178
업데이트 2024. 2. 21.

외부 SSH 접속을 통한 데이터 유출

내부망 호스트에서 인터넷 호스트로 SSH 접속하여 데이터를 유출하는 경우 탐지합니다.

개요

  • 중요도: 하
  • 유형: 실시간 탐지
  • 로그 스키마: 세션
  • 대상 수집모델
    • Palo Alto Networks NGFW (Syslog)

쿼리

팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 SSH 접속을 정확하게 식별할 수 있습니다.

| search app == "ssh" and protocol== "TCP"
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet invert=t field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| search sent_bytes >= 1000000 and sent_bytes >= rcvd_bytes * 3

일반적으로 원격 SSH 작업은 명령어를 실행하고 터미널 출력을 수신하기 때문에 수신 바이트의 비율이 높으나, 송신 바이트가 수신 바이트보다 수 배 이상 많은 경우에는 데이터 유출 세션으로 판단할 수 있습니다.

참조 객체

  • 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

위협 분석

  • 공격자는 리눅스 셸에서 scp 명령어를 사용하여 인터넷 호스트로 파일을 유출할 수 있습니다.
  • 특히 전송 바이트(sent_bytes) 값이 큰 경우 어떤 작업이 있었는지 확인할 필요가 있습니다.

오탐 유형

  • 사용자의 정상적인 외부 SSH 접속도 탐지하므로, 특정 내부 IP 주소에서 특정 인터넷 서버로 SSH 접속하여 데이터를 전송하는 것이 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.
    • 예시: 정기적 외부 데이터 백업

MITRE ATT&CK