안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

권한상승 취약점 공격 탐지

안랩 EPP V3 악성코드 경고 로그에서 취약점 익스플로잇 시도를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Exploit/Win.CVE-2022-24521.C5317859, Exploit/Win.Generic.C4467937 등으로 익스플로잇 파일을 탐지하므로, signature 문자열 값이 Exploit/ 으로 시작하는 경고를 추출합니다. 단, Exploit/Win.MagicLineX 의 경우 취약한 프로그램 제거 목표로 진단하는 것이므로 예외 처리합니다.

| search signature == "Exploit/*" and signature != "Exploit/Win.MagicLineX"

메시지

  • 안랩 EPP V3 권한상승 취약점 공격 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • Exploit/ 계열 시그니처는 운영체제 또는 애플리케이션의 취약점을 악용해 권한 상승을 시도하는 악성코드 또는 익스플로잇 파일을 의미합니다.
  • 해당 탐지 로그가 발생했다는 것은 공격자가 이미 시스템 내에서 권한 확장을 시도했거나, 취약점 악용 페이로드가 유입되었을 가능성을 의미합니다.
  • 일부 익스플로잇은 추가 악성코드 설치, 백도어 생성, 시스템 보호 기능 우회 등 후속 공격으로 이어지므로 즉각적인 조사와 차단이 필요합니다.

오탐 유형

  • 취약점 점검 도구(보안 스캐너), 모의해킹 도구, 내부 레드팀 테스트 중 익스플로잇 파일이 정상적으로 사용되는 경우 탐지가 발생할 수 있습니다.
  • Exploit/Win.MagicLineX 이외에도 한국인터넷진흥원에서 추진하는 보안 취약점 클리닝 서비스와 관련된 취약 소프트웨어가 진단될 수 있습니다.

대응 방안

  • 탐지된 파일의 실제 실행 여부와 파일 경로, 생성 시점을 확인하고 취약점 악용이 성공했는지 조사합니다.
  • 시스템 이벤트 로그, 프로세스 생성 이력, 권한 상승 흔적 등을 기반으로 침해 범위를 분석합니다.
  • 동일 네트워크 내 다른 단말에서도 동일 취약점 악용 시도가 있었는지 확인합니다.
  • OS 및 애플리케이션 패치를 최신 상태로 적용하고, 취약점 악용을 차단할 수 있는 EDR/보안 설정을 강화합니다.

MITRE ATT&CK