네트워크 설정 탐색
tlog 터미널 로그에서 리눅스 네트워크 설정 조회 명령을 탐지합니다.
개요
- 중요도: 하
- 유형: 실시간 탐지
- 로그 스키마: Scribery tlog 레코딩 (scribery-tlog-recording)
- 대상 수집모델
- Scribery tlog
쿼리
명령줄에서 아래 명령어 패턴을 탐지합니다.
- ip a, ip addr
- ifconfig
- route
- arp
| eval pattern = groups(cmd_line, "(\\bip\\s+a\\b)|(\\bip\\s+addr\\b)|(\\bifconfig\\b)|(\\broute\\b)|(\\barp\\b)")
| search isnotnull(pattern)
| eval pattern = trim(strjoin("\n", foreach(if(isnull(_1), "", _1), pattern)))
메시지
- $hostname에서 $user 계정이 네트워크 설정 탐색 ($pattern)
출력 필드 순서
- _log_time, pattern, hostname, user, term_type, cmd_line, output, in_bin, out_bin
위협 분석
- 공격자는 네트워크 설정을 확인한 후에 목표 네트워크에 어떻게 접근할 것인지 계획을 수립합니다.
오탐 유형
- 정상적인 네트워크 설정 조회 시에도 탐지되므로, 이후에 이어지는 TTP 이벤트를 추적하여 이상 여부를 확인해야 합니다.
대응 방안
- 네트워크 설정 조회는 일반적인 운영체제 기능을 사용하는 것이기 때문에, 이에 대해 특별히 대응 조치할 내용은 없습니다.
MITRE ATT&CK
- 전술
- Discovery
- 기법
- 이름: System Network Configuration Discovery
- ID: T1016
- 참조 URL: https://attack.mitre.org/techniques/T1016/