Trellix Endpoint Security

다운로드 33
업데이트 2024. 6. 16.

임시 파일의 악성코드 다운로드

임시 디렉터리에서 실행된 파일이 악성코드를 다운로드한 경우 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Trellix HX 맬웨어 탐지 (trellix-tx-malware-hit)
  • 대상 수집모델
    • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 맬웨어 탐지 이벤트 중 부모 프로세스 경로가 AppData\Local\Temp 에 해당되면 탐지합니다. 이 이벤트는 이미 임시 디렉터리에 악성코드를 추가로 다운로드할 수 있는 파일이 임시 디렉터리에 설치 및 실행되었음을 암시합니다.

| search in(lower(parent_image_path), "*\\appdata\\local\\temp\\*")

메시지

  • 호스트 $hostname ($host_ip) 임시 파일의 악성코드 $malware_signature 다운로드

출력 필드 순서

  • _log_time, device_name, device_id, severity, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, malware_engine, malware_category, malware_signature, md5, sha1, parent_image_path, msg, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver

위협 분석

  • 이 이벤트는 임시 디렉터리에서 실행된 파일이 악성코드를 다운로드한 경우 발생합니다.
  • 공격자는 감염된 단말을 통하여 악성코드나 도구를 반입하고, 내부망의 다른 호스트에 전파할 수 있습니다.

오탐 유형

  • Trellix Endpoint Security가 정상 파일을 악성 파일로 오탐지 할 수 있습니다.

대응 방안

  • 부모 프로세스 경로에 존재하는 파일이 어떤 경로로 유입되었는지 확인하고 제거합니다.

MITRE ATT&CK