안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

피싱 탐지

안랩 EPP V3 악성코드 경고 로그에서 피싱 악성코드를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Phishing/PDF.Qshing.XG103, Phishing/HTML.FakeLogin.SC257918, X97M/Laroux 등으로 피싱 악성코드를 탐지하므로, signature 문자열 값이 Phishing/ 또는 X97M/ 으로 시작하는 경고를 추출합니다.

| search signature == "Phishing/*" or signature == "X97M/*"

메시지

  • 안랩 EPP V3 피싱 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • 피싱 악성코드는 사용자가 문서(PDF, HTML, Office 매크로 등)를 열도록 유도해 계정 정보 탈취, 악성 스크립트 실행, 추가 악성코드 다운로드 등을 수행합니다.
  • Phishing/ 또는 X97M/ 시그니처는 이메일 기반 스피어피싱, 로그인 페이지 위장 HTML, 엑셀 매크로 기반 문서형 악성코드 등 실제 사용자 상호작용을 노리는 초기 침투 시도에 해당합니다.
  • 이러한 파일이 유입되었다는 것은 사용자가 이미 악성 문서를 열었거나 열 가능성이 높은 상황이므로 즉각적인 확인 및 사용자의 추가 피해 방지가 필요합니다.

오탐 유형

  • 내부 교육용 샘플 문서, 보안 테스트용 피싱 문서 등을 운영팀이 테스트하는 경우 탐지될 수 있습니다.
  • Office 매크로가 포함된 정상 업무 문서가 X97M/ 계열로 오탐되는 사례가 드물게 존재합니다.

대응 방안

  • 탐지된 파일의 출처(이메일 발신자, 다운로드 경로 등)를 확인하고, 사용자가 파일을 실제로 열었는지 여부를 파악합니다.
  • 악성 문서를 실행한 것으로 판단될 경우, 해당 단말의 프로세스 트리, 다운로드 기록, 스크립트 실행 흔적 등을 분석해 추가 감염 여부를 확인합니다.
  • 발신자 정보를 기반으로 동일 피싱 메일이 조직 내 확산되었는지 확인하고, 유사 메일 차단 및 사용자 경고 조치를 시행합니다.
  • 문서형 악성코드 차단을 위해 매크로 차단 정책, 의심 문서 자동 격리 정책 등 보안 설정을 강화합니다.

MITRE ATT&CK