구글 워크스페이스

구독
다운로드 123
업데이트 2025. 2. 8.

실행 파일 다운로드

Google Workspace 사용자가 실행 가능한 파일을 다운로드한 경우 탐지합니다.

쿼리

아래 4가지 조건을 만족하는 경우 탐지합니다:

  • 내부 계정: 조직 외의 다운로드는 관리 대상이 아니며, 출발지 IP 주소가 기록되지 않음
  • 파일 확장자가 실행 가능한 형식: .dll, .exe, .scr, .jar, .pif, .app, .dmg, .elf, .so, .bin, .deb, .rpm, .sh, .hta, .lnk
  • 작업이 download, view, copy 중 하나
  • 인증 없이 다운로드 가능한 공유 상태: people_with_link, public_on_the_web
| search len(user) > 0 
  and in(action, "download", "view", "copy") 
  and in(visibility, "people_with_link", "public_on_the_web") 
  and in(doc_title, "*.dll", "*.exe", "*.scr", "*.jar", "*.pif", "*.app", "*.dmg", "*.elf", "*.so", "*.bin", "*.deb", "*.rpm", "*.sh", "*.hta", "*.lnk")

메시지

  • 실행 파일 다운로드: 계정 $user, 파일 $doc_title

출력 필드 순서

  • _log_time, src_ip, src_asn, user, action, doc_type, doc_title, owner, visibility, doc_id, is_encrypted, is_shared_drive, is_team_drive, shared_drive_id, owner_team_drive_id

위협 분석

  • 공격자 또는 악의적인 내부자가 Google Drive를 통해 악성 파일을 업로드하고, 이를 공개 설정으로 공유하여 다른 임직원이 해당 파일을 다운로드하도록 유도할 수 있습니다.

오탐 유형

  • 개발팀 또는 IT부서에서 업무 상 필요에 의해 실행 가능한 파일을 Google Drive를 통해 배포하는 경우에도 다운로드 시 탐지됩니다.

대응 방안

  • 해당 파일의 소유자, 공유 설정, 파일 유형, 다운로드한 다른 사용자 목록을 확인하여 실제 위협인지 판단합니다.
  • 오탐인 경우에는 해당 파일을 예외 조건으로 제외하여 다시 탐지되지 않도록 합니다.
  • 악성 파일로 확인된 경우 파일을 삭제 또는 격리 조치하고, 소유자 정보 기반으로 파일 배포 경로를 분석하여 대응합니다.

MITRE ATT&CK