고위험 웹 공격 탐지
WAPPLES가 위협을 즉시 차단하지 않고 탐지로 처리한 경보 중 익스플로잇에 해당되는 고위험 공격 시도를 경보합니다.
쿼리
WAPPLES 장비의 대응 방식이 DETECT 에 해당되고 요청 HTTP 페이로드가 존재하는 WAPPLES 경보 로그를 대상으로, ml-scan-http-request 쿼리 명령어를 적용하여 판정 결과가 정탐이고, 크로스 사이트 스크립트, SQL 인젝션, 명령어 주입, XML 엔터티 주입과 같은 심각한 공격 시도가 확인되는 경우 탐지합니다.
| search _schema == "attack" and action == "DETECT" and signature != "Invalid HTTP" and isnotnull(http_req_headers)
| rename http_req_headers as raw_data
| ml-scan-http-request
| search verdict == "attack" and match(tags, "(?:#xss|#sql_injection|#command_injection|#xxe_injection)(?=\\s|$)")
| lookup geoip src_ip output country as src_country, asn as src_asn
메시지
- WAPPLES 고위험 웹 공격 탐지: $src_ip ($src_asn) -> $vhost ($tags)
출력 필드 순서
- _log_time, risk, src_ip, vhost, tags, decoded_strings, highlights, signature, action, reason, raw_data
위협 분석
- 웹 방화벽은 반드시 고위험 웹 공격을 즉시 차단해야 하지만, 현실적으로는 오탐으로 정상 사용자를 차단할 경우 서비스 장애가 발생하기 때문에 룰을 탐지 모드로 운영하는 경우가 많습니다. 그러나 이렇게 서비스 가용성을 우선시하는 운영 모드는 보안팀이 항상 적시에 공격 검증 후 공격자 IP를 차단한다는 가정을 하고 있으므로 분석 및 대응 조치가 늦어지면 위험합니다.
- 특히 개인정보보호위원회의 과징금 결정문의 사례를 살펴보면, 보안 장비를 운영하더라도 탐지 모드로 운영하는 경우 안전조치 의무를 제대로 수행했다고 판단하지 않으므로 과실이 면책되지 않습니다.
오탐 유형
- ml-scan-http-request 명령어는 머신러닝 모델에 기반하여 정오탐을 분류하므로, 정상 HTTP 요청이 공격으로 잘못 분류될 가능성이 있습니다. 명백한 오탐 패턴은 탐지 규칙에 예외 조건을 추가하여 동일한 경보가 반복되지 않도록 조치합니다.
대응 방안
- 이 탐지 시나리오는 HTTP 요청 페이로드를 자동 검증하여 실제 고위험 공격으로 판정되는 경우에만 경보를 발생시키므로, 보안 담당자는 공격 내용 확인 후 반드시 공격자 IP 주소를 차단해야 합니다.
- 실제 존재하는 애플리케이션 취약점을 공격한 것인지 HTTP 요청과 대조하여 확인하고, 공격이 성공했을 가능성이 있다고 판단되면 웹 서버에 웹쉘이 설치되거나 이상징후가 발생한 흔적이 없는지 추가로 확인합니다.
- 만약 공격자가 실제 존재하는 취약점을 공격 시도했다면, 네트워크 서비스 및 애플리케이션을 패치하여 동일한 공격이 다시 성공하지 못하도록 후속 조치합니다.
MITRE ATT&CK
- 전술
- Initial Access
- 기법
- 이름: Exploit Public-Facing Application
- ID: T1190
- 참조 URL: https://attack.mitre.org/techniques/T1190/