WL-002 Sysmon 3 Network Connection
주요 필드
| 필드 | 의미 | 예시 |
|---|
| winlog.event_id | Sysmon의 이벤트 식별자 (네트워크 연결 이벤트의 경우 값은 3) | 3 |
| winlog.computer_name | 이벤트가 발생한 대상 호스트(PC 또는 서버)의 컴퓨터 이름 | PC01.mycompany.local |
| winlog.event_data.Image | 네트워크 연결을 생성하고 통신을 시도한 프로세스의 실행 파일 전체 경로 | C:\\Users\\employee1\\Desktop\\SecurityUpdate.exe |
| winlog.event_data.Initiated | 프로세스가 네트워크 연결을 직접 시작했는지 여부 (true는 아웃바운드 연결 의미) | true |
| winlog.event_data.SourceIp | 통신을 시작한 로컬 시스템(출발지)의 IP 주소 | 10.0.4.216 |
| winlog.event_data.DestinationIp | 연결하고자 하는 외부 또는 내부의 목적지 IP 주소 | 10.0.1.194 |
| winlog.event_data.DestinationPort | 연결하고자 하는 목적지 시스템의 서비스 포트 번호 | 4444 |
커버하는 Techniques Used
| Technique | Mapping Reason |
|---|
| T1095 - Non-Application Layer Protocol | 공격자가 표준 애플리케이션 계층 프로토콜(HTTP/HTTPS 등)을 우회하기 위해, 신뢰할 수 없는 프로세스(예: SecurityUpdate.exe)나 코드를 이용하여 외부의 특이 포트(예: 4444)로 TCP 아웃바운드 커넥션을 수립하고 명령 제어(C2) 채널을 확보하려는 행위를 식별한다. |
| T1041 - Exfiltration Over C2 Channel | 공격자가 수집 및 압축한 내부 기밀 자산(예: data.zip)을 탐지 우회 및 효율적 관리를 위해 기 수립된 C2(명령 제어) 통신 채널을 통해 외부 악성 서버로 은밀히 송신(유출)하는 행위를 식별한다. |
탐지 포인트
| Technique | 관찰할 행위 | 주요 필드 |
|---|
| T1095 - Non-Application Layer Protocol | 운영체제 필수 프로세스(System, svchost, lsass 등)나 공인된 업무용 프로그램(브라우저, 협업 툴 등)이 아닌 임의의 실행 파일이, 인가된 내부 네트워크 대역을 벗어난 외부 IP를 대상으로 일반적인 웹 포트(80, 443)가 아닌 임의의 포트로 아웃바운드 통신(Initiated: true)을 먼저 시작하는 행위 감시 | winlog.event_id, winlog.computer_name, winlog.event_data.Image, winlog.event_data.Initiated, winlog.event_data.SourceIp, winlog.event_data.DestinationIp, winlog.event_data.DestinationPort |
| T1041 - Exfiltration Over C2 Channel | 사내 표준 사설 IP 대역, IPv4/IPv6 루프백 주소, 링크 로컬(fe80*) 대역 및 승인된 사내 외부 인프라 공인 IP 목록에 포함되지 않는 비인가 외부 IP 주소로 아웃바운드(Initiated: true) 연결을 수립하는 행위 감시 | winlog.event_id, winlog.computer_name, winlog.event_data.Image, winlog.event_data.Initiated, winlog.event_data.SourceIp, winlog.event_data.DestinationIp, winlog.event_data.DestinationPort |
ELK Query 예시
winlog.channel : "Microsoft-Windows-Sysmon/Operational"
and winlog.event_id : 3
and winlog.event_data.Initiated : "true"
and not winlog.event_data.DestinationIp : ("10.0.10.77" or "10.0.4.216" or "10.0.13.205" or "10.0.4.30" or "127.0.0.1" or "::1" or "0:0:0:0:0:0:0:1" or fe80*)
and not winlog.event_data.DestinationPort : (80 or 443)
and not winlog.event_data.Image : (
"System" or
"C:\\Windows\\System32\\lsass.exe" or
"C:\\Windows\\ADWS\\Microsoft.ActiveDirectory.WebServices.exe" or
"C:\\Windows\\System32\\svchost.exe" or
"C:\\Windows\\System32\\spoolsv.exe" or
"C:\\Windows\\System32\\dns.exe" or
"C:\\Windows\\System32\\dfsrs.exe" or
"C:\\Program Files\\Windows Defender\\MsMpEng.exe" or
"C:\\Windows\\System32\\wbem\\WmiPrvSE.exe" or
*\\winlogbeat.exe or
*\\elastic-agent.exe or
*\\chrome.exe or
*\\msedge.exe or
*\\iexplore.exe or
*\\firefox.exe or
*\\teams.exe or
*\\slack.exe or
*\\zoom.exe
)
winlog.channel : "Microsoft-Windows-Sysmon/Operational"
and winlog.event_id : 3
and winlog.event_data.Initiated : "true"
and winlog.event_data.Image : ("*\\powershell.exe" or "*\\cmd.exe" or "<unknown process>")
and not winlog.event_data.DestinationIp : (
10.* or
"127.0.0.1" or
"::1" or
"0:0:0:0:0:0:0:1" or
169.254.* or
fe80* or
"52.78.216.139" or
"3.36.156.17" or
"43.201.217.167" or
"54.116.120.198"
)
