tar 또는 zip 명령어를 이용하여 파일 압축 시 탐지합니다.

쿼리

tar 또는 zip 명령어를 이용한 gzip 압축 파일 생성 또는 해제를 탐지합니다. 정규표현식으로 옵션, 타겟 파일, 타겟 디렉토리를 추출하고, zip인 경우는 무조건 탐지하고 tar인 경우는 옵션에 z(gzip 압축)가 포함된 경우만 탐지합니다.

| search match(cmd_line, "\\b(tar|zip)\\s")
| rex field=cmd_line "\b(?<cmd>(tar|zip))\s+(-)?(?<option>[a-zA-Z]+)\s+(?<target_file>\S+)(\s+)?(?<target_dir>\w+)?"
| search isnotnull(target_file) and (cmd == "zip" or cmd == "tar" and contains(option, "z"))

메시지

• 파일 압축: $host_ip ($hostname)

출력 필드 순서

• _log_time, client_ip, host_ip, hostname, target_file, target_dir, src_user, src_ip, src_host, src_path, dst_user, dst_ip, dst_host, dst_path, log_type, cmd_line, cmd_line_raw, working_dir

위협 분석

• 공격자는 데이터 유출(Exfiltration) 전 민감한 파일들을 tar로 압축하여 단일 파일로 만든 후 외부로 전송을 시도할 수 있습니다.
• 침투 후 악성 도구나 백도어를 압축 해제하여 시스템에 설치하는 데 사용될 수 있습니다.
• 압축을 통해 파일 크기를 줄이고 탐지를 우회하려는 목적이 있을 수 있습니다.

오탐 유형

• 시스템 관리자의 정상적인 백업, 배포, 로그 아카이빙 작업에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
  • 예시: 운영팀의 정기 백업 작업, 배포 파이프라인의 릴리즈 패키징

대응 방안

• 압축 대상 파일(target_file) 및 디렉토리(target_dir)의 민감도를 확인합니다.
• 압축 파일 생성 후 네트워크 전송(scp, curl, wget 등) 시도 여부를 확인합니다.
• 실행 사용자 및 실행 시간대의 정당성을 검토합니다.
• 비인가 압축 행위 확인 시 해당 파일 격리 및 유출 여부를 조사합니다.

MITRE ATT&CK

• 전술
  • Collection
• 기법
  • 이름: Archive Collected Data: Archive via Utility
  • ID: T1560.001
  • 참조 URL: https://attack.mitre.org/techniques/T1560/001/