<aside> 💡 해당 프로젝트는 국가보안연구소의 위탁 연구과제로, 차세대 보안 위협 탐지를 위한 오픈소스 EDR 분석 명으로 프로젝트가 약 6개월간 진행되었습니다. 프로젝트에서 오픈소스 EDR Tool의 연구 동향을 분석하고 GRR, Osquery를 활용하여 EDR Tool을 분석하고자 했습니다. GRR 및 Osquery에 대한 자료 수집과 탐지 분석을 통해 탐지 데이터 규격을 정의하고, 탐지 데이터 전송을 시험하여 GRR 및 Osquery를 활용하여 악성 공격으로부터 대응할 수 있는 query문을 정리하고자 했습니다. 정리된 query문을 통해 MITRE 모델을 기반으로 오픈소스 EDR Tool의 대응 커버리지를 분석하고 대응 데이터 규격을 정의하는 것이 본 프로젝트의 목적입니다.
</aside>
<aside> 💡 프로젝트에서 EDR Tool 분석 및 시연, MITRE 모델 분석 및 공격 시나리오 기반 EDR 대응 커버리지 및 규격 분석의 역할을 했습니다.
첫 번째로, EDR Tool 분석 및 시연의 역할입니다. 해당 역할에서 EDR 오픈소스의 종류와 특징을 정리하여 테이블화 했으며, GRR의 시스템 구조 및 기능 분석을 위해 GitHub에 공개된 소스 코드를 분석했습니다. 기능 분석은 통합, 빌드, 배포, 설치, 핵심 모듈 부분으로 나누어 체계화했으며 핵심 모듈의 경우 GRR의 전반적인 기능과 부가 및 확장 기능으로 나누어 분류했습니다. GRR의 시연을 위해 우분투 환경에서 Server와 Client를 나누어 환경을 구축한 후, GRR과 Osquery를 연동했습니다. 이를 기반으로 GRR Server와 Client에서 쿼리를 입력하여 탐지가 성공적으로 진행하는 것을 확인했습니다.
두 번째로, MTIRE 모델 분석 및 공격 시나리오 기반 EDR 대응 커버리지 및 규격 분석 역할입니다. 해당 역할에서는 주로 MITRE ATT&CK에서 제시되는 모델을 기반으로 각 공격 단계별로 공격을 탐지 및 대응하기 위한 주요 정보를 정의했으며, 정의된 공격 중 EDR에서 사용가능한 query 중 공격에 대응 가능한 query 유형을 일반화했습니다. 공격 시연을 위해 메타스플로잇과 RAASNet 랜섬웨어를 사용하여 APT 공격 시나리오를 작성했습니다. 시나리오는 비인가 된 USB 삽입을 통해 공격자와 피해자 간의 PC가 C&C 서버로 연결되어 랜섬웨어에 감염되는 것으로, 본 시나리오의 시연을 통해 EDR Tool의 query를 사용하여 초기 접근 단계와 명령 및 제어 단계, 조작 공격에 대해 대응할 수 있음을 확인했습니다.
</aside>