Playbook이 트리거되고 실행이 시작되면 1단계에서 활동이 고객의 IP 주소에서 시작되었는지 확인해야 합니다.
암호 스프레이 공격을 수행하는 IP 주소를 식별합니다. 예를 들어 경보의 TXID(트랜잭션 ID)를 사용하여 F5 로그와 비교하여 조회합니다.
2단계에서 활동이 고객의 IP 주소에서 시작된 경우 다음 단계를 수행합니다.
3단계에서는 가능한 암호 스프레이 공격에 대한 인시던트 사후 검토를 시작해야 합니다.
4단계에서는 흐름이 종료됩니다.
5단계에서 활동이 고객의 IP 주소에서 시작되지 않은 경우 경고 세부 정보에서 공격자의 원본 IP를 확인합니다.
6단계에서는 OSINT(Open-Source Intelligence) 툴을 사용하여 IP 평판과 지난 7일 동안 이러한 IP의 트래픽 패턴을 검증해야 합니다.
그림 1. 가능한 암호 스프레이 Playbook
7단계에서는 암호 스프레이 공격을 사용하여 성공적으로 로그인한 사용자 이름을 식별해야 합니다.
8단계에서는 실패한 로그인 및 패턴 수를 식별해야 합니다.
9단계에서는 참 긍정 지표를 식별해야 합니다.
지난 60일 동안 소스 IP의 트래픽을 확인합니다. 과거의 어떤 트래픽도 진정한 긍정을 나타낼 수 없습니다.
인증 실패가 있는 사용자 이름 패턴과 개수를 확인합니다. 개수가 높을수록 참 긍정일 확률이 높아집니다.
사용자 이름은 사전 기본(A에서 Z로 시작)과 비슷하며 admin, sysadmin, root 등과 같은 일반적인 관리자 이름을 가질 수 있습니다
동일한 경고가 john.doe, johnd, jdoe, john_doe, jdoe7 등에 대해 실패할 수 있는 것처럼 동일한 사용자 이름이 스프레이 공격에서 다른 패턴을 가질 수 있으며, 이는 공격자가 일반적인 사용 사례를 기반으로 사용자 이름 패턴을 추측함을 나타냅니다.
위 단계의 F5 로그에서 사용자 에이전트 및 URI를 확인하고 IOC가 Red Condor 경보와 관련이 있는지 확인합니다. 일치하면 진정한 긍정 이벤트입니다.
10단계에서는 지금까지 수행된 조사를 기반으로 이것이 가능한 암호 스프레이 공격의 경우인지 여부를 확인해야 합니다.
11단계에서 암호 스프레이 공격이 가능한 경우 다음 단계를 수행합니다.
12단계에서는 적절한 팀과 협력하여 필요한 계정을 잠그고 악의적인 활동을 조사해야 합니다.
그림 2.
13단계에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
14단계에서는 플로우가 종료됩니다.
15단계에서는 이것이 가능한 암호 스프레이 공격의 경우가 아닌지 확인해야 합니다.
16단계에서 암호 스프레이 공격이 가능한 경우가 아닌 경우 다음 단계를 수행합니다.
17단계에서는 지금까지의 결과를 문서화해야 합니다.
18단계에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
19단계에서 플로우가 종료됩니다.
20단계에서는 동료 및 GIR 관리자와 상의하여 지침을 받아야 합니다.
21단계에서는 작업을 종료하기 전에 사후 인시던트 검토를 완료하기 위해 응답 작업이 생성됩니다.