이번 주의 규칙: 악성 파일의 이중 확장자 가능성

적대자는 악성 실행 파일을 이미지, 문서 또는 압축 파일로 가장하여, 파일 아이콘을 바꾸고 파일 이름에 허위 확장자를 추가할 수 있습니다. 이러한 “조작된” 파일은 종종 피싱 이메일의 첨부 파일로 사용되며, Windows XP 및 그 이후 시스템에서 기본적으로 활성화된 “알려진 파일 형식 확장명 숨기기” 옵션으로 인해 Windows 시스템을 감염시키는 상당히 효과적인 방법입니다. 실제 파일 확장자는 파일 탐색기 및 대부분의 애플리케이션이 시스템의 파일 탐색기 정책을 따르기 때문에 시스템에 의해 숨겨집니다. 피싱 이메일이 사용자를 “문서”를 열도록 설득하면 악성 소프트웨어가 시스템에 설치되며, 사용자가 아무것도 의심하지 않도록 유혹 문서를 종종 다운로드하여 실행하게 됩니다.

우리의 SOC 팀은 창성스러움 피싱 캠페인에서 실행 파일을 은폐하기 위해 .pdf.exe와 같은 비실행 파일 확장 뒤에 .exe 확장을 의심스럽게 사용하는 것을 탐지하는 독점 Sigma 규칙을 공개했습니다: https://tdm.socprime.com/tdm/info/2FWv97nWNL5L/iea3vHEBv8lhbg_iMXqH/?p=1

위협 탐지는 다음 플랫폼에서 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: CrowdStrike, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 초기 접근

기법: 스피어 피싱 첨부 파일 (T1193)

여기 위협 현상금 프로그램 참여자들이 지난 주에 발표한 상위 5개의 커뮤니티 규칙을 확인하세요: https://socprime.com/en/blog/rule-digest-fresh-content-to-detect-trojans-and-ransomware/