tcpdump 명령어를 이용하여 네트워크 트래픽 스니핑 시 탐지합니다.

쿼리

tcpdump 명령어 실행을 탐지합니다. 와일드카드 매칭과 정규표현식을 함께 사용하여 단어 경계(\b)로 시작하고 공백(\s)이 뒤따르는 실제 tcpdump 명령 실행을 정확하게 식별합니다.

| search cmd_line == "*tcpdump*" and match(cmd_line, "\\btcpdump\\s") 

메시지

• TCPDUMP 실행: $host_ip ($hostname)

출력 필드 순서

• _log_time, client_ip, host_ip, hostname, user, group, cmd_line, working_dir

위협 분석

• tcpdump는 네트워크 패킷 캡처 도구로, 공격자가 내부 네트워크 트래픽을 스니핑하여 민감한 정보(자격증명, 세션 토큰, 평문 데이터 등)를 탈취할 수 있습니다.

오탐 유형

• 네트워크/보안 담당자의 정상적인 트래픽 모니터링 및 장애 분석 작업에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
  • 예시: 인프라팀의 네트워크 트러블슈팅, 보안팀의 패킷 분석

대응 방안

• 실행 사용자 및 소스 시스템의 정당성을 확인합니다.
• tcpdump 실행 옵션 및 캡처 대상(인터페이스, 필터)을 검토합니다.
• 캡처 파일(.pcap) 생성 여부 및 외부 전송 시도를 확인합니다.
• 비인가 사용 시 해당 계정 및 시스템을 격리 조치합니다.

MITRE ATT&CK

• 전술
  • Credential Access, Discovery
• 기법
  • 이름: Network Sniffing
  • ID: T1040
  • 참조 URL: https://attack.mitre.org/techniques/T1040/