문서API 참조
Documentation
Start typing to search…

Sandfly 유형

Sandfly는 호스트에서 볼 수 있는 위협 유형을 분류하기 위해 고급 유형을 사용합니다. 이러한 카테고리는 다음과 같습니다:

  1. File
  2. Process
  3. User
  4. Directory
  5. Log
  6. Policy
  7. Incident
  8. Recon
  9. Custom

이러한 카테고리는 Linux에서 볼 수 있는 침해 요소를 다룹니다. 이러한 유형은 아래에서 설명합니다.

파일 Sandflies

파일 유형 공격은 Linux 호스트의 파일에 영향을 주는 의심스러운 침해 징후를 보이는 공격입니다. 이는 의심스러운 바이너리, 제자리에 있지 않은 시스템 파일, 수정된 구성 파일 등과 같은 항목을 포함할 수 있습니다.

파일 공격은 Linux 침해에서 매우 일반적입니다. 일반적으로 공격자는 호스트에 침입한 후 파일을 교체, 수정, 이동하거나 파일을 은폐하려고 시도합니다. Sandfly는 이러한 행동을 탐지하는 다양한 방법을 가지고 있습니다.

프로세스 Sandflies

프로세스 공격은 시스템에서 실행 중인 실행 파일과 관련된 의심스러운 활동을 포함하는 공격입니다. 이는 악성코드 활동이나 비정상적인 방식으로 사용되는 일반적인 시스템 프로세스를 포함할 수 있습니다. 또한 비정상적이거나 의심스러운 네트워크 활동에 사용되는 프로세스나 호스트에서 자신의 존재를 숨기려고 시도하는 프로세스도 포함됩니다.

사용자 Sandflies

호스트에 접근한 공격자는 종종 사용자 계정으로 의심스러운 많은 작업을 수행합니다. 예를 들어, 기록 파일을 변경하거나 로그인 스크립트에 백도어를 삽입하거나 사용자에게 비정상적인 다른 작업을 수행합니다. Sandfly는 사용자 수준 공격을 찾아 침해된 계정을 격리하는 데 도움이 되는 보고서를 제공할 수 있습니다.

디렉토리 Sandflies

디렉토리 공격은 일반적으로 공격자가 디렉토리의 존재를 숨기거나 모호하게 하려고 시도하는 모든 것을 포함합니다. 호스트가 침해당했을 때 많은 공격자들은 자신의 도구와 데이터를 숨기기 위해 숨겨지거나 의심스러운 디렉토리를 설정합니다. 또한 이러한 디렉토리를 더욱 숨기기 위해 스텔스 루트킷을 로드할 수도 있습니다. Sandfly는 이러한 공격과 다른 유형의 공격을 탐지할 수 있습니다. 종종 Sandfly는 의심스러운 디렉토리의 전체 경로를 제공하여 조사하고 공격자가 호스트에서 무엇을 했는지 확인할 수 있도록 합니다.

로그 Sandflies

호스트에 접근한 공격자는 종종 중요한 시스템 감사 로그를 변경하거나 삭제하여 활동을 은폐하려고 시도합니다. Sandfly는 누군가가 자신의 존재를 적극적으로 은폐하려고 시도하고 있음을 나타내는 누락되거나 변경되거나 손상된 시스템 로그 파일을 확인할 수 있는 다양한 방법을 가지고 있습니다.

정책 Sandflies

정책 sandflies는 엄밀한 의미에서 침해가 아닐 수도 있지만, 침해로 이어질 수 있는 잘못된 구성을 확인하는 검사입니다. 예를 들어, /etc 하위의 중요한 시스템 파일에 대한 열린 권한이나 SSH를 통한 root 로그인을 허용하는 시스템이 있습니다.

때로는 정책 검사가 활성 악성코드도 잡아낼 수 있습니다. 종종 악성코드는 원격 접근을 허용하기 위해 의도적으로 시스템을 불안전하게 만들며 스스로를 설치합니다. 이러한 검사는 이전에 존재하지 않았던 불안전한 변경 사항을 갑자기 보이는 시스템에 플래그를 지정하는 데 도움이 될 수 있습니다.

기본적으로 이러한 검사는 비활성화되어 있지만, 설치에 적합하다고 생각되는 대로 검토하고 활성화할 수 있습니다. 이는 시스템을 변경했을 수 있는 악성코드를 찾는 데뿐만 아니라 시스템을 불안전하게 만들어 문제를 일으킬 수 있는 작업을 수행한 사용자를 찾는 데도 유용할 수 있습니다.

인시던트 Sandflies

인시던트 sandflies는 특별합니다. 이는 일반적으로 인시던트 대응(IR)을 위해 설계되거나 컴퓨터를 더 자세히 살펴보고자 하는 사용자를 위해 설계된 일반 sandflies보다 시스템에 더 큰 영향을 미치는 심층 조사 모듈입니다.

인시던트 sandflies는 일반적으로 IR을 위해 실행되거나 일반적인 시스템 영역 외부에서 문제의 징후를 찾기 위해 주기적으로 수동으로 실행됩니다. 이러한 sandflies는 더 긴 CPU 및 디스크 활동 스파이크를 발생시킵니다. 일반적인 sandfly 검사와 달리 시스템 모니터링 도구에서 원격 호스트에서 실행되는 것을 알아차릴 가능성이 높습니다.

또한 인시던트 sandflies는 분석의 광범위한 특성과 문제를 찾는 곳 때문에 잘못된 양성을 생성할 수도 있습니다. 이는 문제가 있는 모든 것을 보고하는 쪽으로 편향되며 일반적인 sandflies에 비해 덜 선별적입니다.

위의 사항을 염두에 두고, 시스템의 모든 구석이 확인되고 있는지 확실히 하기 위해 때때로 인시던트 sandflies를 수동으로 실행하는 것은 나쁜 생각이 아닙니다.

정찰 Sandflies

정찰(Recon) sandflies는 공격을 찾지 않고 수동적인 방식으로 시스템 정보를 수집하도록 설계되었지만, 이 데이터를 사용하여 머신 러닝(ML) 및 기타 기법을 적용하여 문제를 발견할 수 있는 백엔드 분석 엔진에 제공합니다. Recon sandflies는 호스트에서 실행되며 활성화된 경우 모든 프로세스, 사용자 및 기타 데이터를 수집합니다. 이 데이터는 Splunk 및 기타와 같은 보안 정보 이벤트 관리(SIEM) 도구에서 시간에 따른 트렌드를 구축하는 데 사용할 수 있습니다.

커스텀 Sandflies

Sandfly를 사용하면 자신만의 커스텀 sandfly 검사를 생성할 수 있습니다. 생성한 모든 커스텀 sandfly 검사는 이 탭에서 볼 수 있습니다.

Updated 7 days ago

이 페이지가 도움이 되었나요?