TELNET 이용한 포트 탐색
telnet 명령어를 이용하여 포트 접속 테스트 시 탐지합니다.
쿼리
telnet 명령어를 이용한 원격 접속 시도를 탐지합니다. 정규표현식으로 목적지 호스트(dst_host)와 포트(dst_port)를 추출하고, 포트가 추출된 경우만 탐지합니다.
| search contains(cmd_line, "telnet")
| search match(cmd_line, "\\btelnet\\s")
| eval src_ip = host_ip
| rex field=cmd_line "telnet\s+(?<dst_host>\S+)\s+(?<dst_port>\d+)"
| eval dst_ip = ip(dst_host), dst_port = int(dst_port)
| search isnotnull(dst_port)
메시지
- TELNET 이용한 포트 탐색: $host_ip ($hostname) ➜ $dst_host:$dst_port
출력 필드 순서
- _log_time, client_ip, host_ip, hostname, src_user, src_ip, src_host, src_path, dst_user, dst_ip, dst_host, dst_path, log_type, cmd_line, cmd_line_raw, working_dir
위협 분석
- telnet은 암호화되지 않은 평문 통신 프로토콜로, 자격증명 및 데이터가 네트워크에 그대로 노출됩니다.
- 공격자가 내부 네트워크에서 측면 이동(Lateral Movement)을 시도하거나, 레거시 시스템을 타겟으로 공격할 수 있습니다.
- 보안이 취약한 네트워크 장비나 IoT 기기에 대한 무단 접근 시도일 수 있습니다.
오탐 유형
- 레거시 시스템 또는 네트워크 장비 관리를 위한 정상적인 telnet 사용에서 탐지될 수 있습니다. 이 경우에는 예외 조건을 추가하여 오탐을 방지합니다.
- 예시: 네트워크팀의 스위치/라우터 관리, 구형 장비 접속
대응 방안
- 출발지(
src_ip)와 목적지(dst_ip,dst_port)의 정당성을 확인합니다. - 목적지 시스템이 중요 자산인지 확인하고, 접속 성공 여부를 조사합니다.
- telnet 사용이 불가피한 경우 SSH 등 암호화된 프로토콜로 대체를 권고합니다.
- 비인가 접속 시도 확인 시 해당 출발지 시스템을 격리하고 침해 여부를 조사합니다.
MITRE ATT&CK
- 전술
- Discovery
- 기법
- 이름: Network Service Discovery
- ID: T1046
- 참조 URL: https://attack.mitre.org/techniques/T1046/