레코디드 퓨처의 인식트 그룹은 인기 있는 4가지 인증정보 수집 도구에 대한 SIEM 소프트웨어와 사고 대응 가이드에서 실행할 수 있는 탐지를 만들었습니다. 레코디드 퓨처® 플랫폼, 말피디아, 폴리스웜, 리버스 엔지니어링, 오픈소스 인텔리전스(OSINT) 강화 등의 출처가 포함되었습니다. 이 연구의 대상에는 인증정보 수집 도구로부터 조직을 보호하는 데 관심이 있는 보안 실무자, 네트워크 방어자, 위협 인텔리전스 전문가가 포함됩니다.

Executive Summary

신원 정보 수집 도구의 사용은 위협 행위자들이 귀사의 인프라에 추가적인 접근 권한을 획득하는 일반적이고 강력한 방법입니다. 최근 Ryuk 공격 사건 의 세부 사항에 따르면, 피해자 침투를 위한 15단계 절차 중 2단계에서 자격 증명 수집 도구인 Mimikatz와 LaZagne가 사용되었습니다. 이 도구들은 피해자의 환경 내에서 수평적으로 이동하여 네트워크 내의 다른 호스트를 침해하는 데 사용되었습니다.

이 문서에서는 미미카츠, 라자뉴, 티랫 2.0, 오스노 스틸러에 대한 시그마 기반 탐지 규칙에 대한 연구를 자세히 설명합니다. 또한 보안 운영팀이 인증정보 탈취 사고에 대응할 수 있도록 초기 사고 우선순위 수준과 높은 수준의 대응 절차를 제공합니다.

시그마 프로젝트에서 제공하는 시그마 규칙과 Recorded Future에서 개발한 맞춤형 규칙(기존 고객에게만 제공됨)은 기존 SIEM 솔루션을 활용해 자격 증명 수집을 탐지하고 대응하는 강력한 기능을 제공합니다. 적절히 구성된 호스트 기반 로깅과 결합하여 Sysmon과 같은 도구를 사용하면 Sigma 규칙은 조직이 위협을 탐지하고 대응하는 능력을 향상시켜 정확성과 효율성을 높일 수 있습니다.

시그마는 표준화된 규칙 구문으로, 다양한 SIEM 지원 구문 형식으로 변환할 수 있습니다. 레코딩된 미래 플랫폼을 통해 고객은 인식트 그룹에서 개발한 시그마 규칙에 액세스하고 다운로드하여 조직에서 사용할 수 있습니다.

주요 판단

• 대부분의 인증정보 탈취 도구는 측면 이동 및 권한 상승과 같은 추가적인 전술, 기술 및 절차(TTP)를 가능하게 하기 때문에 위험성이 높으며, 일반적으로 인증정보 탈취 도구는 2단계 도구로 사용되며 호스트가 이미 손상되었음을 나타냅니다.
• 자격 증명 수집 활동을 성공적으로 탐지하고 대응하면 침입자가 목표를 성공적으로 완료하지 못할 수 있습니다.
• 시그마 규칙은 여러 플랫폼 간에 탐지를 공유하는 효과적인 방법입니다. 시그마 규칙과 함께 기록된 미래 우선순위 수준 및 대응 절차를 사용하면 사이버 보안 팀이 쉽게 구현할 수 있는 탐지 및 대응 기능을 제공합니다.