DShield Traffic Analysis using ELK - SANS Internet Storm Center
DShield Traffic Analysis using ELK - SANS Internet Storm Center
DShield Traffic Analysis using ELK, Author: Guy Bruneau
isc.sans.edu
- 분석 개요
- DShield 센서에서 수집된 트래픽 로그를 Kibana 인터페이스를 통해 분석
- 주요 로그 소스는 cowrie, webhoneypot, firewall 로그로 구성
- 추가적으로 패킷 캡처, NetFlow, Zeek 등도 활용 가능
- 이번 분석 사례는 특정 IPID(54321)*를 출발점으로 하여 *의심스러운 스캔 활동을 식별하는 과정 설명
- 탐지 시작: 의심스러운 고정 IPID 활용
- IPID 54321은 툴 또는 자동화된 스캐너에서 흔히 사용되는 값
- Kibana에서 DShield - Traffic Analytic 대시보드를 활용해 최근 7일~30일간 로그 확인
- 결과적으로 2025년 2월 4일부터 3월 6일까지 활동한 패턴 발견
- 센서 전체 범위에서 특정 IP 탐지
- DSL 쿼리를 통해 3개의 센서(picollector, collector, vps-711a413c)에서 공통으로 수집한 트래픽 필터링
- 예시 IP: 193.68.89.10
- 활동 기간은 2월 5일 12시부터 3월 4일 12시까지, 중간에 2월 11~13일 일시 중단
- 센서별 로그 분석 결과
- IPID 필터 제거 후 해당 IP에 대해 존재하는 데이터는 webhoneypot과 firewall 로그뿐
- 로그인을 시도한 흔적은 없음
- 2월 15일 웹 트래픽 급증이 관찰됨
- 웹 요청 및 사용자 에이전트 분석
- DShield - Web Analytic 대시보드에서 GET 및 HEAD / 요청만 존재
- 두 가지 다른 User-Agent 식별
- TTL(Time-to-Live) 클러스터 분석
- DShield - Vega-Lite에서 TTL 값의 분포 확인
- 동일 IP에서 237
240, 4749 두 개의 TTL 클러스터 존재- 원인 추정: 라우팅 경로 차이, 프록시, 패킷 조작 가능성 등
- 결론
- 단 10분 이내로도 간단한 레트로스펙티브 위협 헌팅 수행 가능
- ELK 스택과 DShield 통합 대시보드 활용으로 다양한 위협 식별 및 상관 분석 가능
- 패킷 캡처 및 Zeek 연동 시 심층 분석 가능성 확대
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 북한 APT 'Lazarus', 소셜 엔지니어링 기반 $14억 암호화폐 공급망 해킹 (1) | 2025.04.12 |
|---|---|
| 마이크로소프트, 35년 역사 '퍼블리셔' 2026년 지원 종료 (0) | 2025.04.12 |
| 고밀도 에지 컴퓨팅 서버, 실시간 데이터 처리 및 보안 강화 (0) | 2025.04.12 |
| Google, Go 기반 악성코드 문자열 복호화 도구 GoStringUngarbler 공개 (0) | 2025.04.12 |
| AI기본법 시행 앞두고 여야, 산업 진흥 중심의 개정안 발의 확대 (0) | 2025.04.12 |