안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

Mimikatz 탐지

안랩 EPP V3 악성코드 경고 로그에서 Mimikatz 파일 반입을 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Mimikatz를 Trojan/RL.Mimikatz.R248084, Trojan/Win.Mimikatz.R437781, Trojan/Win32.RL_Mimikatz.R290617, Trojan/Win32.RL_Mimikatz.R366782, Trojan/Win64.Mimikatz.R372136 등으로 탐지하므로, signature 필드 값을 소문자로 변환한 후 mimikatz. 문자열이 포함된 경고를 추출합니다.

| search lower(signature) == "*mimikatz.*"

메시지

  • 안랩 EPP V3 Mimikatz 탐지: 호스트 $host_ip

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • Mimikatz는 윈도우 환경에서 자격 증명(credential) 탈취에 사용되는 대표적인 공격 도구입니다.
  • 공격자는 악성코드 감염, 원격 코드 실행, 계정 탈취 등을 통해 내부 단말에 Mimikatz 실행 파일 또는 변종을 반입하여 계정 정보를 수집할 수 있습니다.
  • Mimikatz가 탐지된 경우, 이미 단말이 침해되었거나 공격자가 활동 중일 가능성이 높으며, 관리자 권한 탈취·확장된 내부 침투로 이어질 수 있습니다.

오탐 유형

  • 보안팀 또는 IT팀이 침해분석 테스트, 취약점 진단, 교육 목적으로 Mimikatz를 반입한 경우 발생할 수 있습니다.
  • 그러나 일반 사용자 환경에서 Mimikatz가 정당하게 사용되는 경우는 거의 없으므로, 오탐 가능성은 매우 낮습니다.

대응 방안

  • 해당 단말에서 Mimikatz 파일의 실행 여부, 파일 경로, 생성/수정 시점을 확인합니다.
  • 악성코드 반입 가능성이 있으므로 즉시 단말을 격리하고 전체 악성코드 검사 및 포렌식 분석을 수행합니다.
  • 동일 사용자 계정 및 단말에서 비정상적인 인증 시도, 원격 연결, 프로세스 생성 이력이 있는지 추가 조사합니다.
  • 계정 정보 유출 가능성을 고려하여 해당 단말의 사용자 계정 및 관리자 계정의 비밀번호를 변경하고 세션 토큰을 무효화합니다.

MITRE ATT&CK