[시그마 룰 설명]
- title : 시그마룰 명
- EventID : 1 - 프로세스 생성
- hwp.exe 부모 프로세스
- 포스트스크립트('gswin32c.exe', 'gswin32.exe', 'gswin64c.exe', 'gswin64.exe', 'gbb.exe') 자식 프로세스
[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]
(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)- csv-timeline : CSV 형식의 시간순으로 정렬
- -C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기
[실행 결과]
- 총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 2개의 이벤트 탐지
- DESKTOP-9SCSJHC 단말 1대 확인
[Timeline Explorer 툴로 결과 파일 확인 및 분석결과 ]
| 단말 | 날짜 | 시간 | 이벤트 내용 |
| DESKTOP-9SCSJHC | 2021.11.10 | 15:36:46 ~ 15:36:48 | - C:\Users/user03\Downloads [개발팀] 채용요청서.hwp" 파일을 열람 - 포스트스크립트가 포함되어 있음 - gbb.exe 프로그램이 파일내에 있는 포스트스크립트 파일을 %TEMP% 폴더 이하로 이동 - 옮겨진 포스트스크립트 파일은 GSWIN32C.EXE 프로그램에 의해 실행 |
'보안 > 보안 개념' 카테고리의 다른 글
| 프로세스 인젝션 이벤트 탐지 (0) | 2026.05.27 |
|---|---|
| 프로세스 리니지 이상 이벤트 식별(서비스 호스팅) (0) | 2026.05.27 |
| LOL 바이너리 (0) | 2026.05.26 |
| 시스마 룰 (0) | 2026.05.26 |
| SYSMON (0) | 2026.05.26 |