Home / NodeFall / Campaign Logs

SB-04 Campaign Logs

이 페이지는 NodeFall에서 실제로 참조하는 로그만 모아 보여준다. 전체 팀 공통 로그 목록은 Global Log Catalog에서 확인한다.

React2Shell RCE 이후 shell 실행과 reverse shell 연결을 확인하는 Falco 런타임 로그.

T1190

ServiceAccount 토큰 경로 접근과 kubeconfig 내 Kubernetes 자격 증명 확인 행위를 설명하는 Falco 런타임 로그

T1552.007 T1552.001

SelfSubjectAccessReview 매니페스트 생성과 RBAC 권한 확인 요청을 확인하는 Falco 런타임 로그

T1613

Copy Fail PoC 다운로드, /tmp 실행 파일 생성, python3 실행 및 컨테이너 내부 root 권한 상승을 확인하는 Falco 런타임 로그

T1068

Kubernetes API 요청과 Pod 리소스 스펙을 검사하여 호스트 접근이 가능한 위험 Pod 생성 요청을 설명하는 Kyverno 정책 위반 로그

T1611

Linux syscall 기반으로 컨테이너 내부 프로세스가 호스트 네임스페이스에 진입하는 런타임 행위를 설명하는 Falco 탐지 로그

T1611

CloudTrail에서 STS GetCallerIdentity 이벤트를 확인하여 EC2 Instance Profile 임시 자격증명이 AWS API 호출에 사용되었음을 설명하는 AWS 로그

T1552.005

Falco에서 IMDS 접근을 확인하여 EC2 Instance Profile 임시 자격증명 획득 시도를 설명하는 런타임 탐지 로그

T1552.005

CloudTrail에서 Secrets Manager와 RDS 조회 이벤트를 확인하여 AWS 임시 자격증명으로 내부 DB 접속정보와 RDS 자산을 식별한 행위를 설명하는 AWS 로그

T1213.006

Falco에서 MySQL 클라이언트 실행을 확인하여 내부 RDS 데이터베이스 접근 행위를 설명하는 런타임 탐지 로그

T1213.006

Falco에서 curl을 이용한 외부 HTTPS POST 전송을 확인하여 내부 RDS 고객 데이터 유출 행위를 설명하는 런타임 탐지 로그

T1567.002