안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

PsExec 탐지

안랩 EPP V3 악성코드 경고 로그에서 PsExec 실행 시도를 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 Downloader/LNK.PsExec 등으로 PsExec 실행 시도를 탐지하므로, signature 값에 PsExec 문자열이 포함된 경고를 추출합니다.

| search signature == "*PsExec*"

메시지

  • 안랩 EPP V3 PsExec 실행 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • PsExec은 원격 명령 실행과 서비스 생성 기능을 제공하므로, 공격자가 내부 단말을 장악한 뒤 원격 코드 실행(RCE), 권한 상승, 측면 이동(Lateral Movement)에 활용할 수 있습니다.
  • 랜섬웨어 조직은 PsExec을 이용해 동일 네트워크의 여러 시스템에 페이로드를 일괄 배포하는 사례가 보고되었습니다.
  • 안랩 V3에서 PsExec 시도가 탐지된 경우, 내부 네트워크 내에서 이미 악성 행위가 진행되고 있을 가능성을 의미하므로 즉각적인 확인이 필요합니다.

오탐 유형

  • IT 운영팀이 원격 장애 조치, 소프트웨어 배포, 점검 작업 등에서 PsExec을 정상적으로 사용할 경우 발생할 수 있습니다.
  • 다만 일반 사용자 단말에서는 PsExec 사용이 거의 없으므로, 오탐 가능성은 낮은 편입니다.

대응 방안

  • PsExec 실행 시도가 승인된 작업인지 확인하고, 실행 주체 계정의 IP 주소, 명령 실행 이력을 검토합니다.
  • 승인되지 않은 PsExec 활동일 경우, 해당 단말을 격리하고 관리자 계정 탈취 가능성을 조사합니다.
  • 동일 시점에 발생한 원격 서비스 생성, 의심스러운 프로세스 실행, 네트워크 연결 등 연관 이벤트를 추가 분석합니다.
  • 필요 시 PsExec 실행을 차단하도록 EDR/방화벽 정책을 강화하고, 원격 관리 도구 사용 규정을 재점검합니다.

MITRE ATT&CK