VNC 측면 이동
내부망 호스트에서 다른 내부망 호스트로 VNC 접속하여 원격 제어하는 경우 탐지합니다.
개요
- 중요도: 상
- 유형: 실시간 탐지
- 로그 스키마: 세션
- 대상 수집모델
- Palo Alto Networks NGFW (Syslog)
쿼리
팔로알토 네트웍스 차세대 방화벽 수집 모델에 대해 아래 스트림 쿼리를 적용하여 실시간 탐지를 수행합니다. 팔로알토 네트웍스 방화벽은 L7 프로토콜을 식별하므로 포트 번호에 관계없이 VNC 접속을 정확하게 식별할 수 있습니다.
| search app == "vnc-*"
| matchnet field=src_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
| matchnet field=dst_ip guid="bb994ca4-1471-4b91-89f2-99a61bd529b5" verify=f
참조 객체
- 내부망 네트워크 대역:
bb994ca4-1471-4b91-89f2-99a61bd529b5
위협 분석
- 공격자는 사용자 단말 등 거점으로부터 내부 서버에 VNC로 접속하여 원격으로 제어하거나 민감한 정보를 수집할 수 있습니다.
- 다수의 정보유출 악성코드가 VNC 프로토콜을 이용합니다.
오탐 유형
- 정상적인 운영 및 관리 목적으로 내부의 관리자 단말에서 내부 서버에 VNC 접속하더라도 탐지하므로, 특정 IP 주소에서 특정 내부 서버로 VNC 원격 제어가 허용된 경우에는 탐지 예외 조건을 추가하여 조정합니다.
- 예시: IT 관리자의 내부 리눅스 서버 원격 관리
MITRE ATT&CK
- 전술
- Lateral Movement
- 기법
- 이름: Remote Services: VNC
- ID: T1021.005
- 참조 URL: https://attack.mitre.org/techniques/T1021/005/