# 데모 공격 시나리오

{% hint style="info" %}
PLURA를 이용하는 고객 또는 파트너사는 간단한 명령어로 탐지 로그를 발생시킬 수 있습니다.
{% endhint %}

### 1. 마이터 어택 & 상관분석 & 호스트 탐지 <a href="#id-1" id="id-1"></a>

리눅스 환경에서 PLURA 에이전트가 설치된 경우, 아래 명령어로 마이터 어택 및 호스트 탐지 로그를 확인할 수 있습니다.

* 계정 생성 탐지

```bash
useradd Demo
```

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/01.png" alt=""><figcaption></figcaption></figure>

**PLURA** [**호스트보안**](https://docs.plura.io/ko/fn/edr/detection) 탐지 메뉴에서 확인 가능합니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/16.png" alt=""><figcaption></figcaption></figure>

* 계정 삭제 탐지

```bash
userdel Demo
```

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/03.png" alt=""><figcaption></figcaption></figure>

**PLURA** [**호스트보안**](https://docs.plura.io/ko/fn/edr/detection) 탐지 메뉴에서 확인 가능합니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/17.png" alt=""><figcaption></figcaption></figure>

또한, **PLURA 보안탐지 > 마이터 어택 > 리스트** 메뉴에서도 탐지 결과를 확인할 수 있습니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/18.png" alt=""><figcaption></figcaption></figure>

상관분석 탐지를 사용하려면 사전에 상관분석 필터가 등록되어야 합니다.

* 경로 : [필터 > 보안 > 상관분석 > 필터등록](https://docs.plura.io/ko/function/common/sfilter/corelation)
* 필터 정보 입력 후, **상관분석 Group 추가** 버튼을 클릭합니다.
* 시스템/웹 필터를 추가하며, 예시로 "운영체제: centos, 필터명: 계정 생성(M5919j9igmyqbg9h) & 계정 삭제"를 추가할 수 있습니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/19.png" alt=""><figcaption></figcaption></figure>

* 아래 명령어를 순차적으로 입력하여 상관분석 필터 탐지를 합니다.

```bash
useradd Demo
```

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/07.png" alt=""><figcaption></figcaption></figure>

```bash
userdel Demo
```

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/08.png" alt=""><figcaption></figcaption></figure>

PLURA [보안탐지 > 상관분석 메뉴](https://docs.plura.io/ko/function/common/sdetection/corelation)에서 탐지 결과를 확인할 수 있습니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/09.png" alt=""><figcaption></figcaption></figure>

### 2. 웹 필터 탐지 <a href="#id-2" id="id-2"></a>

웹 필터 탐지를 위해서는 데모 공격을 수행할 웹 서버 환경이 필요합니다.&#x20;

PLURA V5 에이전트가 설치된 웹 서버에 **WordPress**를 설치한 후, 아래 모의 공격 문구를 웹 브라우저에 입력합니다.

```
?<script>alert("xss")</script>
```

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/10.png" alt=""><figcaption></figcaption></figure>

PLURA [필터탐지 > 웹 메뉴](https://docs.plura.io/ko/function/common/fdetection/web)에서 탐지 결과를 확인할 수 있습니다.

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/20.png" alt=""><figcaption></figcaption></figure>

### 3. 홈페이지 위변조 탐지 <a href="#id-3" id="id-3"></a>

다양한 운영체제(CentOS, Ubuntu, Windows)에서 사용자의 홈페이지 파일 경로를 추가한 후, [**홈페이지 위변조**](https://docs.plura.io/ko/function/common/sfilter/forgery)를 탐지할 수 있습니다.

3-1. **에이전트가 설치된 윈도우 환경**: `C:\` 경로에 임의 폴더(예: `C:\000`) 생성

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/12.png" alt=""><figcaption></figcaption></figure>

3-2. **PLURA 페이지**: **필터 > 보안 > 홈페이지 위변조 > 윈도우**에서 해당 파일 경로(`C:\000`) 추가

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/13.png" alt=""><figcaption></figcaption></figure>

3-3. **에이전트가 설치된 윈도우 환경**: 생성한 폴더 내에 txt 파일을 생성 후, 수정 및 삭제

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/14.png" alt=""><figcaption></figcaption></figure>

3-4. PLURA [보안탐지 > 홈페이지 위변조 메뉴](https://docs.plura.io/ko/function/common/sdetection/forgery)에서 탐지 결과를 확인

<figure><img src="https://qubitsec.github.io/docs/images/Additianal/demoattack/21.png" alt=""><figcaption></figcaption></figure>

### 4. 데이터 유출 & 계정탈취 탐지 <a href="#id-4" id="id-4"></a>

* [데이터 유출](https://docs.plura.io/ko/function/common/sdetection/breach): 취약한 웹 서버 환경에서 실제 데이터 유출 공격이 발생했을 경우 탐지 로그가 기록됩니다.
* [계정탈취](https://docs.plura.io/ko/function/common/sdetection/takeover): 수집된 로그를 기반으로 분석 후 계정탈취 필터를 등록하여 탐지할 수 있습니다.