Trellix Endpoint Security

구독
다운로드 25
업데이트 2024. 6. 16.

브라우저를 통한 악성코드 다운로드

웹 브라우저를 통한 악성코드 다운로드를 탐지합니다.

개요

  • 중요도: 중
  • 유형: 실시간 탐지
  • 로그 스키마: Trellix HX 맬웨어 탐지 (trellix-tx-malware-hit)
  • 대상 수집모델
    • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 맬웨어 탐지 이벤트 중 부모 프로세스 경로가 웹 브라우저에 해당되면 브라우저를 통한 악성코드 다운로드로 탐지합니다. 이 이벤트는 웹 브라우저가 악성 파일을 다운로드하는 시점에 탐지한 것이므로 단말은 감염되지 않았겠지만, 사용자에게 주의가 필요합니다.

| search in(lower(parent_image_path), "*\\msedge.exe", "*\\iexlorer.exe", "*\\chrome.exe", "*\\firefox.exe", "*\\whale.exe")
| eval browser = lower(parent_image_path), browser = case(browser == "*\\msedge.exe", "Edge", browser == "*\\iexplorer.exe", "Internet Explorer", browser == "*\\chrome.exe", "Chrome", browser == "*\\firefox.exe", "Firefox", browser == "*\\whale.exe", "Naver Whale", substr(browser, lastindexof(browser, "\\") + 1))

메시지

  • 호스트 $hostname ($host_ip)에서 $browser 브라우저를 통해 $malware_signature 다운로드

출력 필드 순서

  • _log_time, device_name, device_id, severity, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, malware_engine, malware_category, malware_signature, md5, sha1, parent_image_path, msg, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver

위협 분석

  • 공격자는 악성 링크를 포함한 메일을 사용자에게 전송하여 파일 다운로드를 유도할 수 있습니다.
  • 악성 파일이 실행되면 해당 단말의 정보를 유출하거나, 공격자가 목표로 하는 내부 시스템 접근의 경로로 활용될 수 있습니다.

오탐 유형

  • Trellix Endpoint Security가 정상 파일을 악성 파일로 오탐지 할 수 있습니다.

대응 방안

  • 사용자에게 피싱 이메일, 의심스러운 다운로드, 불법 소프트웨어 사용의 위험성에 대해 교육하여 보안 인식을 높입니다.
  • 웹 브라우저나 브라우저 확장 프로그램의 취약점에 의해 자동으로 악성코드가 다운로드되지 않도록 소프트웨어 최신 버전을 유지합니다.

MITRE ATT&CK