데모 공격 시나리오
PLURA를 이용하시는 고객 또는 파트너사가 간단한 명령어 수행으로 탐지 로그를 발생시킬 수 있습니다.
1. 마이터 어택 & 상관분석 & 호스트
PLURA 에이전트가 설치된 리눅스 환경에서 아래의 명령어를 입력하면 마이터 어택과 호스트 탐지 로그를 확인할 수 있습니다.
PLURA 필터탐지 > 호스트 메뉴에서 탐지
PLURA 필터탐지 > 호스트 메뉴에서 탐지
PLURA 보안탐지 > 마이터어택 > 리스트 메뉴에서 탐지
상관분석 탐지의 경우, 사전에 상관분석 필터가 등록되어 있어야 합니다.
상관분석 정보(분류, 필터명, 설명 등)를 입력
상관분석 Group 추가 버튼 클릭
시스템/웹 필터 추가 버튼 클릭
아래 필터의 경우, 호스트 단일 필터 추가 “운영체제 : centos, 필터명 : 계정 생성(M5919j9igmyqbg9h)&계정 삭제”
아래 명령어를 순차적으로 입력하여 계정 생성 및 삭제 필터로 조합한 상관분석 필터를 탐지하겠습니다.
PLURA 보안탐지 > 상관분석 메뉴에서 탐지
2. 웹
웹 필터 탐지를 확인하기 위해서는 데모 공격을 진행할 웹 서버 환경이 필요합니다.
PLURA V5 에이전트가 설치된 웹 서버 환경에 Wordpress를 설치한 뒤, 아래의 모의 공격문을 웹 브라우저 창에 입력합니다.
PLURA 필터탐지 > 웹 메뉴에서 탐지
3. 홈페이지 위변조
아래의 설명을 참고하여 다양한 운영체제(CentOS, Ubuntu, Windows)에서 사용자의 홈페이지 파일명(경로)을 추가 후, 홈페이지 위변조를 탐지할 수 있습니다.
3-1. [에이전트가 설치된 윈도우 환경] C:\ 경로에 임의의 폴더(C:\000) 생성
3-2. [PLURA 페이지] 필터 > 보안 > 홈페이지위변조 > 윈도우 > 파일 경로(C:\000) 추가
3-3. [에이전트가 설치된 윈도우 환경] 임의로 생성한 폴더 내에서 txt파일 생성 후, 수정 및 삭제
3-4. PLURA 보안탐지 > 홈페이지 위변조 메뉴에서 탐지
4. 데이터 유출 & 계정탈취
Last updated