[시그마 룰]
[HAYABUSA 툴 이용해 SYSMON 로그파일 조사]
(현재 디렉토리 위치)> (HAYABUSA 툴 경로) csv-timeline -r (룰 디렉토리 위치) -d (sysmon 로그 디렉토리 위치) -C -o (저장할 결과파일명)- csv-timeline : CSV 형식의 시간순으로 정렬
- -C -o (저장할 결과파일명) : 이미 저장할 결과 파일 존재시 덮어쓰기
[실행 결과]
- 총 9,617개 이벤트 로그 중, 작성한 시그마룰 기준 총 35개의 이벤트 탐지
- DESKTOP-9SCSJHC, IEWIN7, DESKTOP-PIU87N6 단말 3대 확인
[Timeline Explorer 툴로 결과 파일 확인]
[분석결과]
| 단말 | 날짜 | 시간 | 이벤트 내용 |
| DESKTOP-9SCSJHC | 2021.11.08 ~ 2022.06.17 | 다수 발생 | C:\Program Files\VMware\VMware Tools\VMwareResolutionSet.exe -> C:\Windows\System32\csrss.exe |
| 2021.11.10 | 17:32:15 | "SYSTEM" IL, C:\Users\user03\AppData\Local\Temp\conhost.exe(5808) -> C:\Windows\System32\winlogon.exe(668) | |
| IEWIN7 | 2020.09.28 | 21:47:36 | "SYSTEM" IL, C:\Windows\System32\rdrleakdiag.exe(3352) -> C:\Windows\System32\/sass.exe(668) |
| DESKTOP-PIU87N6 | 2019.05.26 | 13:01:43 | "SYSTEM" IL, C:\Users\IEUser\Desktop\info.rar\jjs.exe -> C:\Windows\System32\svchost.exe(3908) |
- "DESKTOP-9SCSJHC" 시스템의 "conhost.exe" 프로세스는 시스템 프로세스랑 이름은 동일하나 경로가 잘못 되어있고, 인젝션 대상 프로세스가 "winlogon.exe" 인것으로 보아 키로깅 목적으로 추정
- "DESKTOP-PIU87N6" 시스템의 "rdrleakdiag.exe" 프로세스는 리소스 누수 진단 도구로 프로세스 메모리 덤프 기능을 이용하여 "lsass.exe" 메모리를 덤프 한다는것은 사용자의 자격증명(계정 및 패스워드 등)을 탈취 가능성 있음
- " IEWIN7" 시스템의 "jjs.exe" 파일은 정상 실행 파일이 아니며, 바탕화면에서 실행 됨에도 불구하고 "system" 권한으로 실행되었음, 정상 프로그램인 "svchost.exe" 내에 악성코드 인젝션 가능성 높음
'보안 > 보안 개념' 카테고리의 다른 글
| 브라우저 익스플로잇 (4) | 2026.06.01 |
|---|---|
| 프로세스 리니지 이상 이벤트 식별(서비스 호스팅) (0) | 2026.05.27 |
| 한컴 오피스 문서 포스트스크립트 실행 이벤트 탐지 (0) | 2026.05.27 |
| LOL 바이너리 (0) | 2026.05.26 |
| 시스마 룰 (0) | 2026.05.26 |