Secuve TOS

구독
다운로드 3
업데이트 2025. 11. 25.

SCP를 이용한 외부 파일 반입

scp 명령어를 이용하여 외부 SSH 서버에서 파일 다운로드 시 탐지합니다.

쿼리

scp 명령어를 이용한 외부에서 내부로의 파일 전송을 탐지합니다. 정규표현식으로 출발지/목적지의 사용자, 호스트, 경로 정보를 추출하고, matchnet을 이용하여 외부에서 내부로의 인바운드 파일 전송만 필터링합니다.

| search contains(cmd_line, "scp") 
| search match(cmd_line, "\\bscp\\s") 
| rex field=cmd_line "scp(?:\s+-[^\s]+(?:\s+[^\s]+)?)*\s+(?:(?<src_user>[^@\s]+)@)?(?:(?<src_host>[^:\s]+):)?(?<src_path>[^\s]+)\s+(?:(?<dst_user>[^@\s]+)@)?(?:(?<dst_host>[^:\s]+):)?(?<dst_path>.+)" 
| eval src_ip = ip(src_host), dst_ip = ip(dst_host)
| search not(isnull(src_host) or matchnet("bb994ca4-1471-4b91-89f2-99a61bd529b5", src_ip) or (isnull(src_ip) and match(src_host, "^[a-zA-Z0-9\\-]+$|^[a-zA-Z0-9\\-\\.]+\\.local"))) 
| search isnull(dst_host) or matchnet("bb994ca4-1471-4b91-89f2-99a61bd529b5", dst_ip) or (isnull(dst_ip) and match(dst_host, "^[a-zA-Z0-9\\-]+$|^[a-zA-Z0-9\\-\\.]+\\.local"))

참조 객체

  • 내부망 대역: bb994ca4-1471-4b91-89f2-99a61bd529b5

메시지

  • SCP를 이용한 외부 파일 반입: $src_host ➜ $host_ip ($hostname), 파일 $dst_path

출력 필드 순서

  • _log_time, client_ip, host_ip, hostname, src_user, src_ip, src_host, src_path, dst_user, dst_ip, dst_host, dst_path, log_type, cmd_line, cmd_line_raw, working_dir

위협 분석

  • 공격자가 외부 C2 서버 또는 공격 인프라에서 악성 도구, 백도어, 익스플로잇 등을 내부 시스템으로 유입하는 시도일 수 있습니다.
  • SSH 기반 암호화 전송으로 네트워크 보안 장비의 콘텐츠 검사를 우회할 수 있습니다.
  • 초기 침투 후 추가 페이로드나 공격 도구를 내부로 반입하여 공격을 확장하려는 행위일 수 있습니다.

오탐 유형

  • 업무상 정상적인 외부 서버로부터의 파일 수신에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
    • 예시: 개발팀의 오픈소스/라이브러리 다운로드, 외부 배포 서버에서 패키지 수신, 협력업체로부터 파일 수신

대응 방안

  • 전송된 파일(src_path)의 해시값을 추출하여 악성코드 여부를 검사합니다.
  • 출발지 호스트(src_host)의 평판 조회 및 악성 여부를 확인합니다.
  • 전송된 파일의 실행 여부 및 후속 프로세스 생성을 추적합니다.
  • 비인가 파일 유입 확인 시 해당 파일을 격리하고, 목적지 시스템의 침해 여부를 조사합니다.

MITRE ATT&CK