안랩 EPP V3 악성코드 경고 로그에서 부트킷 악성코드를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Bootkit/Win.WhisperGate.R465555 등으로 부트킷 악성코드를 탐지하므로, signature 문자열 값이 Bootkit/ 으로 시작하는 경고를 추출합니다.

| search signature == "Bootkit/*"

메시지

• 안랩 EPP V3 부트킷 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

• _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

• 부트킷(Bootkit)은 운영체제 부팅 과정에 개입하여 가장 낮은 레벨에서 시스템을 장악하는 고위협 악성코드로, 커널 이전 단계에서 실행되기 때문에 보안 솔루션 우회를 포함한 지속성(Persistence) 확보가 가능합니다.
• 부트 레코드(MBR/EBR) 또는 EFI 파티션을 변조하여 루트킷 기능, 추가 페이로드 로딩, 백도어 설치 등을 수행할 수 있으며, 감염 시 시스템 전체가 공격자에게 통제될 수 있습니다.
• 부트킷 탐지 로그는 이미 부트 영역이 침해되었을 가능성을 나타내므로 즉각적인 시스템 격리와 분석이 요구됩니다.

오탐 유형

• 디스크 관리 도구, 포렌식 도구 등 일부 저수준 디스크 조작 프로그램이 부트 영역에 접근할 때 비정상 패턴으로 오탐이 발생할 수 있습니다.

대응 방안

• 감염 의심 단말을 즉시 네트워크에서 격리하고, 부트 레코드(MBR/EFI) 무결성 점검을 수행합니다.
• 동일 단말에 대한 전체 디스크 검사 및 오프라인 기반의 정밀 악성코드 분석을 진행합니다.
• 부트 영역 훼손이 확인되면 OS 재설치 또는 신뢰할 수 있는 백업 기반 복구를 수행합니다.
• 부트킷 감염 경로(취약점 악용, 악성 드라이버 로딩 등)를 조사하고, 동일 네트워크 내 확산 여부를 확인합니다.

MITRE ATT&CK

• 전술
  • Persistence, Privilege Escalation
• 기법
  • 이름: Boot or Logon Autostart Execution
  • ID: T1547
  • 참조 URL: https://attack.mitre.org/techniques/T1547/