□ 개요

Microsoft사에서 새롭게 출시된 ‘Sysmon 15’는 자체 프로세스 보호 설정을 통하여 Sysmon을 보호할 수 있는 기능과 실행 파일이 생성된 것을 찾을 수 있는 ‘FileExecutableDetected’ 기능을 추가했습니다. Sysmon은 네트워크 연결, 이벤트 로그에 비하여 좀 더 자세한 정보를 제공하는 툴입니다.

수집된 결과를 자동으로 분석하여 결과를 제공하지는 않지만, 이벤트 뷰어나 SIEM 에이전트를 사용해 수집된 정보를 직접 분석하여 시스템에서 일어난 악성 행위나 비정상적인 활동을 파악할 수 있습니다.

□ ‘Sysmon 15’의 프로세스 보호 기능ㅁ

악성코드가 Sysmon 프로세스에 주입되는 것을 방지하고 삭제, 비활성화 되는 것을 막기 위해 Sysmon.exe 실행 프로세스를 보호합니다.

Sysmon이 시작되면 아래와 같이 프로세스 탐색기를 사용하여 보호된 프로세스임을 확인할 수 있습니다.

[그림 1] PPL(PROTECTED_ANTIMALWARE_LIGHT) 프로세스로 실행되는 Sysmon (출처 : Bleeping Computer)

□ ‘Sysmon 15’의 실행 파일 감지 기능

‘FileExecutableDetected’ 지시문을 사용하여 ‘C:\ProgramData\’ 및 ‘C:\Users\’ 폴더에서 생성된 실행 파일을 감지하는 Sysmon 구문입니다.

(Sysmon을 시작하고 위 Sysmon 구문을 사용하기 위해선 sysmon -i ‘명령’을 실행하고 구성 파일을 수정하면 명령이 실행됨)

[그림 2] 구문 적용 완료된 구성 파일

□ 실행 파일 감지 시 생성되는 로그

‘FileExecutableDetected’ 기능이 활성화된 경우, ‘C:\ProgramData’ 또는 ‘C:\Users\’ 폴더에 새 실행 파일이 생성되고 규칙과 일치하면 Sysmon이 해당 파일을 차단하고 이벤트 뷰어에 “Event 29, 실행 파일 감지” 항목을 생성합니다.

[그림 3] 실행 파일 감지 시, 생성되는 이벤트 로그 29 (출처 : Bleeping Computer)

생성된 이벤트 로그 목록에는 아래와 같은 다양한 정보가 포함됩니다.

• UTC Time : 이벤트 감지 시간
• Process ID : 실행 파일을 생성하려고 하는 프로세스 ID
• User : 파일 생성 프로세스 사용자 이름
• TargetFilename : 생성된 실행 파일 이름
• Hash : 생성된 파일의 해시 값

□ 참고 자료

https://www.bleepingcomputer.com/news/microsoft/microsoft-sysmon-now-detects-when-executables-files-are-created/

보안관제센터 MIR Team