[비정상 서비스 호스트 프로셋세스 탐지 시그마 룰]
- process_create_svchost
- EventID : 1 - 프로세스 생성 이벤트
- Image : 해당 프로세스 실행
- svchost_with_no_commandline : 파라미터 없이 'svchost.exe'로 끝
- regular_parent_filter : 부모 프로세스가 '..\services.exe'
- 조건 : process_create_svchost에 해당 프로세스가 생성되었고, 파라미터 없이 'svchost.exe'로 끝나거나 부모 프로세스가 '..\services.exe' 아닌 것
[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]
(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)- csv-timeline : CSV 형식의 시간순으로 정렬
- -C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기
[실행 결과]
- 총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 총 5개의 이벤트 탐지
- DESKTOP-9SCSJHC, IEWIN7 단말 2대 확인
[Timeline Explorer 툴로 결과 파일 확인]
[분석결과]
| 단말 | 날짜 | 시간 | 이벤트 내용 |
| IEWIN7 | 2019.05.26 | 13:01:43 | (jjs.exe->svchost.exe) C:\Users\IEUser\Desktop\info.rar\jjs.exe, PPID: 3883 - 서버호스트(svchost.exe) 프로세스의 부모가 "services.exe"가 아닌 건 |
| 2021.08.19 | 01:36:43 | (DHL_Tracking->svchost.exe) C:\Users\ieuser\Documents\dhl_tracking.exe, PPID:1608, IL:HIGH - 기본적으로 Medium 권한이어야 하지만 HIGH 권한으로 확인되어 공격자가 이미 관리자 수준 이상의 권한 획득한 것으로 예상됨 |
|
| 2021.08.19 | 01:45:20 | (mssrv32.exe->svchost.exe) C:\Windows\System32\mssrv32.exe, PPID: 1620, IL:SYSTEM - 기본적으로 Medium 권한이어야 하지만 HIGH 권한으로 확인되어 공격자가 이미 관리자 수준 이상의 권한 획득한 것으로 예상됨 |
'보안 > 보안 개념' 카테고리의 다른 글
| 브라우저 익스플로잇 (4) | 2026.06.01 |
|---|---|
| 프로세스 인젝션 이벤트 탐지 (0) | 2026.05.27 |
| 한컴 오피스 문서 포스트스크립트 실행 이벤트 탐지 (0) | 2026.05.27 |
| LOL 바이너리 (0) | 2026.05.26 |
| 시스마 룰 (0) | 2026.05.26 |