| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
| 31 |
- 정보보안
- Cross-Site Scripting
- 해커
- IR
- THM
- linux
- Bandit
- XSS
- 리눅스 기초
- cert
- 모의해킹
- Web
- 리눅스
- 해킹
- web hacking
- Blue Team
- 해킹 스터디
- 워게임
- 보안 관제
- 정보보호
- 사이버 보안
- SoC
- OverTheWire
- Cyber Security
- TryHackMe
- 블루팀
- write-up
- http
- CTF
- 보안 스터디
- Today
- Total
AnbyMata의 해킹 노트
[Blue Team] EP.5 - 공격 시나리오 본문
[5-1] Cyber Kill Chain (사이버 공격의 흐름)
1. 초기 침투 (Initial Access)
- 피싱 메일 = 악성 메일 유포 및 유입
- 흔적: 악성 URL 클릭, 첨부파일 실행
→ Email Gateway: 헤더 분석을 통한 발신자 평판 이상 및 악성 파일 탐지
→ Proxy: 로그 내 알려진 C2 서버나 악성 도메인으로의 접속 기록
2. 권한 확보 (Credential Access)
- 인증정보 탈취 = ID/PW 탈취 및 권한 확보
- 시스템 접속 권한 확보
- 흔적: 로그인 실패 폭증, MFA 우회 시도
→ SIEM (Auth Log): 특정 계정에 대한 Brute Force 공격 및 비정상적인 인증 패턴 감지
3. 지속성 유지 (Persistence)
- 비정상 로그인 = 탈취한 계정으로 로그인
- 공격 지속을 위한 거점 확보
- 흔적: 물리적으로 불가능한 이동 시간 내 접속, 해외 IP 또는 신규 디바이스를 통한 세션 생성
→ SIEM (IdP): 계정 관리 시스템에서 새로운 접속 정보와 비정상 위치/시잔 접속 감지
4. 내부 탐색 (Discovery)
- 시스템 및 네트워크 정보 수집
- 더 가치 있는 정보를 찾는 과정
- 흔적: Powershell을 이용한 정보 수집 명령 (whoami, netuser) 흔적, 관리자 도구 실행 및 파일 시스템 검색 행위
→ EDR: 엔트포인트 내 비정상 프로세스 트리 및 명령 실행 기록 추적
5. 데이터 수집 (Collection)
- 유출 및 파과할 핵심 데이터를 한곳에 집결
- 흔적: 단시간 내 대량의 파일 접근 및 특정 폴더로의 복사/압축 행위, 민감 데이터에 대한 접근 권한 오남용
→ EDR / 파일 서버 로그 / SIEM: 호스트 내 비정상적인 파일 접근 패턴 및 대규모 데이터 가공 행위
6. 외부 유출 (Exfiltration)
- 수집한 데이터를 외부로 빼돌림
- 최종 목적 달성
- 흔적: 알려지지 않은 외부 클라우드 스토리지로의 대용량 업로드, 비정상적인 포트를 통한 대규모 데이터 유출
→ DLP, Proxy, CASB, 방화벽: 네트워크 트래픽 로그 내 비정상적인 데이터 이동 감지
[5-2] 이벤트 분석의 6요소
Who - 어떤 계정인가?
→ 일반인 vs 관리자 or VIP
Where - 어디서 발생했는가?
→ 출발지 IP, 국가, 접속 디바이스
When - 언제 발생했는가?
→ 정상 업무 시간대 여부, 직전/직후 행위
What - 무엇을 했는가?
→ 로그인 후 접근한 시스템이나 데이터
Impact - 얼마나 위험한가?
→ 공격의 범위와 영향도
Action - 지금 당장 무엇을 해야 하는가?
→ 계정 잠금, 세션 종료 등의 즉각 조치 필요 여부
[5-3] IOC (Incident of Compromise)
IOC = 시스템이나 네트워크에 침해가 발생했음을 나타내는 위협 인텔리전스의 가장 기본적인 단위
주요 IOC 유형 (대표적인 흔적들)
- IP 주소 - 공격에 사용된 것으로 확인된 악성 C2(Command & Control) 서버의 주소
- 도메인 - 사용자를 속이는 피싱 사이트나 악성 코드를 배포하는 도메인 정보
- 파일 해시 - 특정 악성코드 파일이 가진 고유의 지문값(MD5, SHA256...)
- 이메일 - 피싱 공격을 시도한 발신자의 주소 정보
- URL - 악성 스크립트가 포함된 링크나 payload 다운로드 경로
SOC에서의 IOC 활용
- 탐지 및 분석 (SIEM)
→ 외부에서 생성된 위협 정보를 평판 DB와 대조 → 내부 네트워크에 동일한 IP나 도메인인 나타나는지 실시간으로 감지
- 자동화된 보강 (SOAR Enrichment)
→ Alert 발생 시 SOAR가 자동으로 해당 IP나 파일 해시를 외부 위협 인텔리전스 피드와 대조 → 위험도 즉시 판단
- 지속적 업테이트
→ 확인된 새 공격 패턴을 IOC로 등록 → 위협 인텔리전스 피드를 최신 상태로 유지
[Blue Team] EP.5 - 공격 시나리오. END.
[Blue Team] EP.6 - Linux 로그 기초. Continue...
https://anbymata.tistory.com/68
[Blue Team] EP.6 - Linux 로그 기초
[6-1] Linux의 주요 관찰 행위 유형Auth & System (인증 및 권한)- 사용자 로그인/로그아웃 - SSH 접속이나 Console을 통한 접근 기록 확인- 권한 상승 - sudo나 su 명령을 통해 일반 사용자의 관리자 권한 획득
anbymata.tistory.com
'Blue Team (SOC) > SOC 기초 개념' 카테고리의 다른 글
| [Blue Team] EP.4 - 보안 도구들 (1) | 2026.04.17 |
|---|---|
| [Blue Team] EP.3 - Alert 판단 (0) | 2026.04.16 |
| [Blue Team] EP.2 - L1, L2, L3, IR/CERT (0) | 2026.04.15 |
| [Blue Team] EP.1 - SOC 기초 개념 (0) | 2026.04.14 |