타겟 공격 탐지 방안

최근 계속 발견되는 타겟 공격에 대한 관제 탐지 방안을 고민하고 있습니다.

몇가지 아이디어를 계속 업데이트 합니다.

- 악성사이트 리다이렉트 탐지 : Cisco IronPort, AhnLab SiteGuard
- 악성코드 다운로드 탐지 : IDS 로그 (UPX)
- 파일 생성 탐지 : 시스템 로그
- 시간 변조 탐지(user32.dll) : 시스템 로그
- 자동 실행 레지스트리 추가 탐지 : 시스템 로그
- 리버스 터널 탐지 : 방화벽 service-policy 를 이용한 outbound non-http drop
- C&C 접속 탐지 : null DNS, URL 차단, 방화벽 봇넷 차단 기능 이용, DNS 쿼리 탐지
- 계정 생성 탐지 : 시스템 로그
- 계정 권한 상승 탐지 : 시스템 로그
- 로그 변조 탐지 : 시스템 로그
- 내부 스캔 탐지 : IDS 로그
- AD 암호 DB 접근 탐지 : 시스템 로그
- VPN 계정 생성 탐지 : VPN 로그, 시스템 로그