Menlo Security Isolation Platform이 사용자의 맬웨어 다운로드를 탐지하면 이벤트가 발생합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: Menlo Security Web Access
• 대상 수집모델
  • Menlo Security Web Access

쿼리

요청 유형이 file_download 이고 공격명 분류가 Malware 인 웹 접근 로그에 대해 탐지합니다.

| search req_type == "file_download" and category == "Malware"

메시지

• 맬웨어 다운로드: 사용자 $user, 도메인 $domain

출력 필드 순서

• _log_time, risk, risk_tally, user, req_type, site_category, domain, src_ip, dst_ip, dst_addrs, egress_ip, category, signature, action, reason, status, method, url, top_url, app, is_iframe, has_password, is_inconsistent_domain, num_subfiles, file_size, content_type, browser_version, user_agent_type, user_agent, referer

위협 분석

• 다운로드한 맬웨어 파일을 실행하는 경우 랜섬웨어에 감염되거나, 기밀 정보가 유출될 수 있습니다.

오탐 유형

• Menlo Security 격리 플랫폼이 정상 파일을 악성코드로 오탐지할 수 있습니다.

대응 방안

• Malware 탐지 시 Isolate 대응하고 있는 경우, Block 으로 정책을 변경하는 방안을 검토합니다.
• Menlo Security 어드민 콘솔 로그인 후 Policy > Web > Threats 메뉴로 이동하여 Malware에 대한 정책을 Block으로 변경할 수 있습니다.

MITRE ATT&CK

• 전술
  • Execution
• 기법
  • 이름: User Execution: Malicious Link
  • ID: T1204.001
  • 참조 URL: https://attack.mitre.org/techniques/T1204/001/