이 플레이북을 사용하여 여러 번의 로그인 실패로 인해 트리거되는 암호 스프레이 경보를 조사합니다(동일한 사용자에 대해 둘 이상의 IP 주소에서 너무 많은 인증 실패). 다음 단계에서는 가능한 암호 스프레이 플레이북에서 사용할 수 있는 작업, 작업 및 하위 플로우에 대한 안내를 제공합니다.
플레이북이 트리거되고 실행이 시작되면 작업 1에서 활동이 고객의 IP 주소에서 시작되었는지 확인해야 합니다.
암호 스프레이 공격을 수행하는 IP 주소를 식별합니다. 예를 들어 경보의 TXID(트랜잭션 ID)를 사용하고 F5 로그와 비교하여 조회합니다.
작업 2에서 활동이 고객의 IP 주소에서 시작된 경우 다음 작업을 수행합니다.
작업 3에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
작업 4에서 흐름이 종료됩니다.
작업 5에서 활동이 고객의 IP 주소에서 시작되지 않은 경우 경고 세부 정보에서 공격자의 원본 IP를 확인합니다.
작업 6에서는 OSINT(Open-Source Intelligence) 툴을 사용하여 IP 평판과 지난 7일 동안 이러한 IP의 트래픽 패턴을 검증해야 합니다.
그림 1. 가능한 암호 스프레이 플레이북
작업 7에서는 암호 스프레이 공격을 사용하여 성공적으로 로그인한 사용자 이름을 식별해야 합니다.
작업 8에서는 실패한 로그인 및 패턴 수를 식별해야 합니다.
작업 9에서는 진양성 표시기를 식별해야 합니다.
지난 60일 동안 소스 IP의 트래픽을 확인합니다. 어떤 과거 트래픽도 진정한 긍정의 표시가 될 수 없습니다.
인증 실패가 있는 사용자 이름 패턴과 개수를 확인합니다. 개수가 높을수록 진양성일 확률이 높습니다.
사용자 이름은 딕셔너리 기반(A부터 Z까지)처럼 보이며 admin, sysadmin, root 등과 같은 일반적인 관리자 이름을 가질 수 있습니다
john.doe, johnd, jdoe, john_doe, jdoe7 등에 대해 동일한 경보에 오류가 있을 수 있는 것처럼 동일한 사용자 이름이 스프레이 공격에서 다른 패턴을 가질 수 있으며, 이는 공격자가 일반적인 사용 사례를 기반으로 사용자 이름 패턴을 추측함을 나타냅니다.
위 단계의 F5 로그에서 사용자 에이전트와 URI를 확인하고 IOC가 Red Condor 경고와 관련이 있는지 확인합니다. 일치하면 진정한 긍정 이벤트입니다.
Action 10에서는 지금까지 수행된 조사를 기반으로 이것이 Possible Password Spray 공격의 경우인지 여부를 확인해야 합니다.
작업 11에서 암호 스프레이 공격이 가능한 경우 다음 작업을 수행하십시오.
작업 12에서는 적절한 팀과 협력하여 필요한 계정을 잠그고 악의적인 활동을 조사해야 합니다.
그림 2. 가능한 암호 스프레이 플레이북
작업 13에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
액션 14에서는 플로우가 끝납니다.
작업 15에서 이것이 암호 스프레이 공격의 경우가 아닌지 확인해야 합니다.
작업 16에서 가능한 암호 스프레이 공격의 경우가 아닌 경우 다음 작업을 수행합니다.
Action 17에서는 지금까지의 결과를 문서화해야 합니다.
작업 18에서는 가능한 암호 스프레이 공격에 대한 사후 인시던트 검토를 시작해야 합니다.
동작 19에서 흐름이 끝납니다.
작업 20에서는 동료 및 GIR 관리자와 지침을 참조해야 합니다.
작업 21에서는 작업을 종결하기 전에 사후 인시던트 검토를 완료하기 위한 응답 작업이 생성됩니다.