안랩 EPP V3 악성코드 경고 로그에서 USB 장치 연결 시 자동 실행을 통한 감염 시도를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 USB 장치 연결 시 TextImage/Autorun 등으로 USB를 통해 전파되는 악성코드를 탐지합니다. 탐지된 파일 경로가 드라이브 루트의 autorun.inf 파일인 악성코드 경고를 추출합니다.

| search lower(file_path) == "*:\\autorun.inf*"

메시지

• 안랩 EPP V3 USB 자동실행 악성코드 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

• _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

• USB 저장장치에 생성되는 autorun.inf 파일은 전통적으로 악성코드의 자동 실행 및 전파에 사용되었습니다.
• 공격자는 감염된 USB를 통해 악성 실행 파일을 자동으로 실행시켜 초기 침투(Initial Access)를 시도하거나, 내부망에서 다른 단말로 악성코드를 확산시키는 측면 이동(Lateral Movement)에 활용할 수 있습니다.
• 특히 사용자 개입 없이 실행될 수 있는 구버전 Windows 환경에서는 감염 확산 속도가 빠르므로 즉각적인 조치가 필요합니다.

오탐 유형

• 일부 정당한 USB 장치 또는 구형 소프트웨어가 autorun.inf 파일을 포함할 수 있습니다.
• 그러나 현대 보안 환경에서는 USB 자동 실행 기능이 거의 사용되지 않으므로 오탐 가능성은 낮습니다.

대응 방안

• 해당 USB 장치 및 연결된 단말에서 악성코드 검사와 파일 시스템 점검을 수행합니다.
• 감염된 USB일 가능성이 있으므로 USB를 격리하고, 동일 USB를 사용한 다른 단말도 추가 조사합니다.
• 조직의 그룹 정책(GPO) 또는 EPP 정책을 통해 USB 자동 실행 기능을 비활성화했는지 확인합니다.
• 필요한 경우 USB 저장장치 사용 정책을 강화하고, 무단 USB 사용 탐지 및 차단 설정을 적용합니다.

MITRE ATT&CK

• 전술
  • Initial Access, Lateral Movement
• 기법
  • 이름: Replication Through Removable Media
  • ID: T1091
  • 참조 URL: https://attack.mitre.org/techniques/T1091/