윈도우 이벤트 로그

구독
다운로드 34
업데이트 2024. 6. 13.

PsExec 원격 실행

PsExec 도구를 이용하여 원격으로 윈도우 서비스를 설치하는 경우 탐지합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: 윈도우 이벤트
  • 대상 수집모델
    • 윈도우 이벤트 - 시스템

쿼리

| search event_id == "7036"
| eval svc_name = xpath(xml, "//Event/EventData/Data[@Name='param1']/text()") 
| eval state = xpath(xml, "//Event/EventData/Data[@Name='param2']/text()") 
| search svc_name == "PSEXESVC"

위협 분석

  • 공격자는 대상 윈도우 시스템에 윈도우 서비스를 설치하여 악성 행위를 실행할 수 있습니다.
  • PsExec는 서비스 제어 관리자 API를 사용하여 원격 시스템에 임시로 윈도우 서비스를 생성하고 임의 명령을 실행한 후 서비스를 삭제합니다.

오탐 유형

  • 시스템 관리자가 업무 자동화 목적으로 PsExec 도구를 사용하는 경우에도 탐지될 수 있습니다.

MITRE ATT&CK