임시 디렉터리에서 실행된 파일이 악성코드를 다운로드한 경우 탐지합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: Trellix HX 맬웨어 탐지 (trellix-tx-malware-hit)
• 대상 수집모델
  • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 맬웨어 탐지 이벤트 중 부모 프로세스 경로가 AppData\Local\Temp 에 해당되면 탐지합니다. 이 이벤트는 이미 임시 디렉터리에 악성코드를 추가로 다운로드할 수 있는 파일이 임시 디렉터리에 설치 및 실행되었음을 암시합니다.

| search in(lower(parent_image_path), "*\\appdata\\local\\temp\\*")

메시지

• 호스트 $hostname ($host_ip) 임시 파일의 악성코드 $malware_signature 다운로드

출력 필드 순서

• _log_time, device_name, device_id, severity, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, malware_engine, malware_category, malware_signature, md5, sha1, parent_image_path, msg, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver

위협 분석

• 이 이벤트는 임시 디렉터리에서 실행된 파일이 악성코드를 다운로드한 경우 발생합니다.
• 공격자는 감염된 단말을 통하여 악성코드나 도구를 반입하고, 내부망의 다른 호스트에 전파할 수 있습니다.

오탐 유형

• Trellix Endpoint Security가 정상 파일을 악성 파일로 오탐지 할 수 있습니다.

대응 방안

• 부모 프로세스 경로에 존재하는 파일이 어떤 경로로 유입되었는지 확인하고 제거합니다.

MITRE ATT&CK

• 전술
  • Command and Control
• 기법
  • 이름: Ingress Tool Transfer
  • ID: T1105
  • 참조 URL: https://attack.mitre.org/techniques/T1105/