svchost.exe 시스템 프로세스가 악성 파일을 생성하는 경우 탐지합니다.

개요

• 중요도: 상
• 유형: 실시간 탐지
• 로그 스키마: Trellix HX 맬웨어 탐지 (trellix-tx-malware-hit)
• 대상 수집모델
  • Trellix Endpoint Security

쿼리

Trellix Endpoint Security의 맬웨어 탐지 이벤트 중 부모 프로세스 경로가 svchost.exe에 해당되면 서비스 호스트 프로세스 인젝션 발생으로 탐지합니다.

| search in(lower(parent_image_path), "*\\svchost.exe")

메시지

• 호스트 $hostname ($host_ip)에서 $malware_signature 맬웨어의 svchost 인젝션 탐지

출력 필드 순서

• _log_time, device_name, device_id, severity, emp_key, emp_name, nt_domain, hostname, host_ip, os_name, dst_mac, category, signature, action, malware_engine, malware_category, malware_signature, md5, sha1, parent_image_path, msg, description, agent_id, agent_version, agent_last_audit, start_time, external_id, device_group, device_type, object, behavior, outcome, significance, vendor, product, ver

위협 분석

• 공격자는 보안 시스템의 탐지를 회피하고 권한을 상승시키기 위하여 시스템 프로세스의 메모리에 악성코드를 삽입할 수 있습니다.

오탐 유형

• Trellix Endpoint Security가 정상 파일을 악성 파일로 오탐지 할 수 있습니다.

대응 방안

• 프로세스 인젝션을 실행한 프로세스와 유입 경로를 확인하여 악성 파일을 제거합니다.
• KMSActivator와 같은 불법 정품 인증 도구를 사용하지 않도록 임직원 보안 교육을 실시합니다.

MITRE ATT&CK

• 전술
  • Defense Evasion, Privilege Escalation
• 기법
  • 이름: Process Injection
  • ID: T1055
  • 참조 URL: https://attack.mitre.org/techniques/T1055/