외부 SSH 접속을 통한 명령 제어
내부망 호스트에서 인터넷의 호스트로 SSH 접속하는 경우 탐지합니다.
개요
- 중요도: 하
- 유형: 실시간 탐지
- 로그 스키마: 세션
- 대상 수집모델
- Palo Alto Networks NGFW (Syslog)
쿼리
팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 SSH 접속을 정확하게 식별할 수 있습니다.
| search app == "ssh" and protocol == "TCP"
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet invert=t field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| search sent_bytes < rcvd_bytes
참조 객체
- 내부망 네트워크 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5
위협 분석
- 공격자는 네트워크 취약점 공격에 성공한 후, 해당 서버에서 아웃바운드 접속으로 SSH 터널을 생성할 수 있습니다.
- 외부 SSH 접속 탐지 이벤트가 발생하기 이전 시점에, 이벤트의 출발지 IP를 대상으로 침해 의심 징후가 있는지 분석합니다.
오탐 유형
- 사용자의 정상적인 외부 SSH 접속도 탐지하므로, 특정 내부 IP 주소에서 특정 인터넷 서버로 SSH 접속하는 것이 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.
MITRE ATT&CK
- 전술
- Command & Control
- 기법
- 이름: Encrypted Channel
- ID: T1573.001
- 참조 URL: https://attack.mitre.org/techniques/T1573/001/