웹 스캐닝 탐지
WAPPLES가 404 응답 등 오류 상태 코드로 탐지한 경보 중 취약점 스캐닝에 해당되는 공격 시도를 경보합니다.
쿼리
WAPPLES 장비의 대응 방식이 DETECT 에 해당되고 요청 HTTP 페이로드가 존재하는 WAPPLES 경보 로그를 대상으로, ml-scan-http-request 쿼리 명령어를 적용하여 판정 결과가 정탐이고, 포트 스캔, 취약점 진단, 숨김 파일 조회 시도, 백업 파일 다운로드, 설정 파일 다운로드와 같은 취약점 또는 정보 수집 시도가 확인되는 경우 탐지합니다.
| search _schema == "attack" and action == "DETECT" and signature != "Invalid HTTP" and isnotnull(http_req_headers)
| rename http_req_headers as raw_data
| ml-scan-http-request
| search verdict == "attack" and match(tags, "(?:#scanner|#scanning|#hidden_file_access|#backup_file|#config_file)(?=\\s|$)")
| lookup geoip src_ip output country as src_country, asn as src_asn
메시지
- WAPPLES 웹 스캐닝 탐지: $src_ip ($src_asn) -> $vhost ($tags)
출력 필드 순서
- _log_time, risk, src_ip, vhost, tags, decoded_strings, highlights, signature, action, reason, raw_data
위협 분석
- 공격자는 웹 애플리케이션의 보안 취약점을 파악하기 위해 자동화된 스캐닝 도구나 수동 요청을 통해 비정상적인 HTTP 요청을 전송합니다. 이 과정에서 존재하지 않는 페이지 요청(404 응답), 숨김 파일 접근 시도, 백업/설정 파일 다운로드 시도 등의 패턴이 나타나며 이는 일반적인 사용자 행위와 명확히 구분됩니다.
- 특히, 이러한 스캐닝 행위는 실제 공격 전 단계인 정찰(정보 수집) 활동으로, 공격자가 시스템의 디렉토리 구조, 민감 파일 위치, 취약한 서비스 등을 파악하는 데 활용됩니다. 이후 이 정보를 토대로 원격 코드 실행, 권한 상승, 데이터 유출 등 심각한 침해 행위로 이어질 수 있습니다.
- 따라서, 본 탐지는 공격자가 사전 침투 준비 단계에서 시스템을 식별·분석하고 있음을 의미하며, 빠르게 차단하지 않을 경우 조직의 서비스 및 데이터가 실제 공격에 노출될 위험이 있습니다.
오탐 유형
- ml-scan-http-request 명령어는 머신러닝 모델에 기반하여 정오탐을 분류하므로, 정상 HTTP 요청이 공격으로 잘못 분류될 가능성이 있습니다. 명백한 오탐 패턴은 탐지 규칙에 예외 조건을 추가하여 동일한 경보가 반복되지 않도록 조치합니다.
대응 방안
- 이 탐지 시나리오는 HTTP 요청 페이로드를 자동 검증하여 실제 취약점이나 민감 정보 수집으로 판정되는 경우에만 경보를 발생시키므로, 보안 담당자는 공격 내용 확인 후 공격자 IP 주소를 차단해야 합니다. 정보 수집 단계에서 적절하게 공격자 IP 주소를 차단하지 않으면, 이후 유효한 익스플로잇 시도로 이어질 수 있습니다.
MITRE ATT&CK
- 전술
- Reconnaissance
- 기법
- 이름: Active Scanning: Vulnerability Scanning
- ID: T1595.002
- 참조 URL: https://attack.mitre.org/techniques/T1595/002/