AppCheck CMS

구독
다운로드 8
업데이트 2024. 8. 19.

랜섬웨어 실행 탐지

AppCheck Pro가 랜섬웨어 행위를 탐지하여 AppCheck CMS로 위협 로그를 전송하면 이벤트가 발생합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: AppCheck CMS 위협
  • 대상 수집모델
    • AppCheck CMS

쿼리

host_ip 값과 signature 값이 유효한 모든 위협 로그에 대해 탐지합니다.

| search isnotnull(host_ip) and isnotnull(signature)

메시지

  • 랜섬웨어 실행 탐지: $host_ip

출력 필드 순서

  • _log_time, host_ip, scanner, signature, action, object_type, object_path, md5, agent_id

위협 분석

  • 공격자는 암호화된 파일을 해제하는데 필요한 복호화 키에 대해 몸값 지불을 요구할 수 있습니다.
  • 공유 드라이브나 취약점 등을 이용하여 랜섬웨어가 내부 네트워크의 다른 시스템으로 전파될 수 있습니다.

오탐 유형

  • 각 단말에 설치된 AppCheck Pro가 정상 행위를 랜섬웨어 행위로 오탐할 수 있습니다.

대응 방안

  • 먼저 실제로 파일이 암호화되거나 몸값을 요구하는 메시지가 남아있는지 랜섬웨어 감염 징후를 확인합니다.
  • 더 이상 랜섬웨어가 전파되지 못하도록 해당 호스트를 네트워크에서 즉시 격리합니다.
  • 시스템 전원을 끄고 디스크를 분리하여 추가적인 손상을 방지합니다.
  • 감염 시스템에서 랜섬웨어를 제거하고, 백업 파일을 이용하여 데이터를 복원합니다.
  • 랜섬웨어 감염 경로를 확인하여 동일한 방식으로 재발하지 않도록 조치합니다.

MITRE ATT&CK