Trellix Endpoint Security

다운로드 33
업데이트 2024. 6. 16.

클라우드 스토리지 감염

클라우드 파일 공유 서비스에 의한 맬웨어 내부 전파를 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Trellix HX 맬웨어 탐지 (trellix-tx-malware-hit)
  • 대상 수집모델
    • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 맬웨어 탐지 이벤트 중 부모 프로세스 경로가 OneDrive, Google Drive, Dropbox 에 해당되면 클라우드 공유 서비스에 의한 내부 전파로 탐지합니다.

| search in(lower(parent_image_path), "*\\onedrive.exe", "\\googledrivefs.exe", "\\dropbox.exe")
| eval cloud_storage = lower(parent_image_path), cloud_storage = case(cloud_storage == "*\\onedrive.exe", "OneDrive", cloud_storage == "*\\googledrivefs.exe", "Google Drive", cloud_storage == "*\\dropbox.exe", "Dropbox")

메시지

  • 호스트 $hostname ($host_ip)에서 $cloud_storage 공유 파일 $malware_signature 감염 탐지

출력 필드 순서

  • _log_time, device_name, device_id, severity, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, malware_engine, malware_category, malware_signature, md5, sha1, parent_image_path, msg, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver

위협 분석

  • 공격자는 OneDrive, Google Drive, Dropbox 등 클라우드 파일 공유 서비스에 악성 파일을 추가하여 내부 시스템에 페이로드를 전달할 수 있습니다.
  • 악성 파일은 MS 오피스 파일, 한컴 오피스 파일 등 문서 파일의 형태로 추가될 수도 있으며, 이 경우 사용자가 해당 파일을 여는 순간 문서에 포함된 악성 스크립트가 실행될 수 있습니다.

오탐 유형

  • Trellix Endpoint Security가 정상 파일을 악성 파일로 오탐지 할 수 있습니다.

대응 방안

  • 엔드포인트에서 파일을 삭제 또는 격리하더라도 클라우드 스토리지에는 악성 파일이 남아있으므로 이를 찾아서 제거해야 합니다.

MITRE ATT&CK