Slack 감사 로그에서 슬랙 소유자 변경 이벤트 발생 시 탐지합니다.

쿼리

event_name 필드의 값이 role_change_to_owner 과 일치하는 로그를 추출하고, entity.user.name 값을 target_user 필드로 추출합니다.

| search event_name == "role_change_to_owner"
| eval target_user = valueof(valueof(entity, "user"), "name")

메시지

• 슬랙 소유자 권한 부여: 도메인 $context_domain ($user_name ➜ $target_user)

출력 필드 순서

• _log_time, src_ip, context_type, context_name, user, user_name, user_email, event_name, entity, user_agent

위협 분석

• Slack 소유자(owner) 권한은 워크스페이스 전체 설정, 멤버 및 권한 관리, 보안 정책 변경을 수행할 수 있는 최고 권한입니다.
• 공격자가 관리자 계정을 탈취하거나 내부 계정을 악용해 소유자 권한을 부여하면 워크스페이스를 지속적으로 통제(Persistence)할 수 있으며, 이후 추가 권한 부여·감사 로그 회피·보안 설정 변경 등으로 피해가 확대될 수 있습니다.
• 특히 Slack은 업무 커뮤니케이션과 파일 공유의 중심이므로, 소유자 권한 탈취는 정보 유출 및 조직 내 신뢰 훼손으로 이어질 수 있어 즉각적인 확인이 필요합니다.

오탐 유형

• 워크스페이스 운영자가 정상적으로 소유자 권한을 이관하거나, 신규 소유자를 추가하는 경우에도 탐지됩니다.
• 조직 개편, 운영 정책 변경 등으로 소유자 권한 조정이 발생할 수 있으나, 빈도가 낮으므로 발생 시마다 확인하는 것을 권장합니다.

대응 방안

• 소유자 권한 부여가 승인된 작업인지 즉시 확인합니다.
  • 변경을 수행한 사용자 계정의 IP 주소, 사용자 에이전트, 로그인 이력, MFA 적용 여부를 점검합니다.
• 의도하지 않은 변경일 경우 소유자 권한을 즉시 회수하고, 계정 비활성화 또는 세션/토큰을 무효화합니다.
• 동일 시점에 발생한 멤버 초대, 권한 변경, 앱 설치, 감사 로그 설정 변경 등 연관 이벤트를 추가 조사합니다.
• Slack 보안 설정(SSO 강제, MFA 필수, 관리자 권한 최소화)을 점검하고 소유자 권한 관리 절차를 강화합니다.

MITRE ATT&CK

• 전술
  • Persistence, Privilege Escalation
• 기법
  • 이름: Account Manipulation
  • ID: T1098
  • 참조 URL: https://attack.mitre.org/techniques/T1098/