보안장비 정책 변조 시나리오

자원 접속 정보

보안장비 - UTM

관리 - AdminConsole

업무pc - user1, user2

DMZ - Web Server

미션 소개

 - 2022년 6월 29일 오후 3시 이후에 보안장비 정책이 변경된 것 같다는 보고를 받았다.

 - 침해사고를 파악하고 보안장비를 활용하여 적절한 조치를 취하라

 

시나리오

1. [UTM] public-pc의 adminconsole 접근 허용 (시간 때문에 임시로 외부 pc에서 작업하도록 허용한 경우 하지만 이미 public pc가 감염되어 있는 상태)

2. 감염된 public-pc를 통한 adminconsole 접근

3. UTM 정책변경

4. WAF 정책 삭제

5. 웹서버 취약점 exploit

6. 지속적 접근을 위한 백도어 삽입

 

-> log4shell 공격 사용

 : log4j가 기록하는 메시지에 악성 페이로드를 포함시켜 JNDI 조회를 통해 악성 서버에 연결이 가능한 취약점

 

• AdmiConsole에 접근한 외부 ip 확인

AdminConsole 접속 > 모니터링 > 세션 통합 로그

2022년 6월 29일 오후 3시 로그 검색, 목적지 주소가 adminconsole인 것 검색

3389로 원격 접속 확인

 

윈도우 > event뷰어 > 응용 프로그램 및 서비스 로그 > MS > Windows > TerminalService-LocalSessionManager

2022년 6월 29일 오후 3시 검색 > 외부 ip 확인

• 변경된 UTM 정책 확인하고 백업 파일을 이용해 복구

MF2 > 관리자 로그 > 시간에서 2022년 6월 29일 오후 3시 검색 > NAT, UTM에서 변경된 정책 확인

WAF를 WEB으로 변경하여 WAF를 거치지 않도록 함

시스템 > 설정 복구 > 백업한 정책을 복구

 

• 변경된 WAF 정책 확인하고 백업 파일을 이용해 복구

UTM에서 로그 분석 후 WAF에서 로그 분석을 보면 정책 삭제한 것을 확인 

정책설정에서 백업하기

 

• 웹서버 Exploit에 사용된 취약점의 CVE 번호를 확인

cmd > netstat -ano

로그에서 본 IP나 established된 포트 확인하여 백도어 확인

작업관리자에서 확인하기 - tasklist /FI *PID eq 포트번호

삭제

[UTM2]

악성 IP 검색하면 통신 중인 로그 분석

 

[웹서버]

해당 날짜의 access.log를 보면 log4j공격인 것을 확인

인터넷에 검색하면 cve-2021-44228로 확인

 

[AdminConsole]

방화벽 > 정책 설정에서 외부 악성 IP 차단하기 0.0.0.0/24

 

• UTM을 활용해 공격자의 IP와 C2서버 IP 대역을 차단 

위와 같음