주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/mdr/help/ko-kr/index.html?contextId=TrickBot

TrickBot 또는 Emotet 수정 워크플로

TrickBot 또는 Emotet 감염을 수정하려면 다음 단계를 따르십시오.

소개

TrickBot 또는 Emotet 맬웨어 모음은 현재 와일드에서 널리 퍼져 있으며 감염 효과가 높은 모음 중 하나입니다. 여러 기법과 감염 벡터를 활용하여 환경을 통해 확산하고 손상된 장치에서 지속성을 확보합니다.

효과적인 보호를 위해 Intercept X Advanced with EDR을 사용하는 것이 좋습니다.

TrickBot 또는 Emotet 인시던트가 발생한 경우 당사에 연락하여 Managed Detection and Response 서비스를 구매하는 것이 좋습니다. 높은 수준의 교육을 받은 이 팀은 수정을 지원하고 근본 원인 분석을 제공할 수 있습니다.

장치 확인

장치가 최신 상태이며 보호되고 있는지 확인합니다. 장치를 확인하려면 다음과 같이 하십시오.

  1. 네트워크의 모든 장치에 Sophos Endpoint Protection의 작동 및 업데이트 버전이 있는지 확인합니다.

    Sophos Anti-Virus(온-프레미스)로 TrickBot 또는 Emotet 감염을 수정하는 것은 권장되지 않습니다. Sophos Anti-Virus에는 Trickbot 또는 Emotet을 차단하고 수정을 지원하는 데 효과적인 일부 기능과 도구가 갖춰져 있지 않습니다.

  2. Sophos Endpoint를 설치할 수 없거나 적절한 Windows 업데이트를 받을 수 없는 이전 운영 체제를 사용하는 장치를 업데이트하거나 제거합니다.

    1. 장치에 적절한 Windows 보안 패치가 모두 적용되어 있는지 확인합니다. 보호되지 않거나 패치가 적용되지 않은 한 대의 시스템이 보호 및 패치가 적용된 다른 장치를 감염시킬 수 있습니다.

  3. 수정하는 동안 Windows 2008 R2가 아닌 Windows 2008 버전, Windows 2003 XP 또는 그 이전 버전을 실행하는 모든 장치를 끄십시오. 이러한 장치는 새로운 감염을 일으킬 위험이 있으므로 네트워크에서 제거하십시오.

    이 운영 체제 목록은 지원이 종료되는 Windows 버전이 생길 때 변경됩니다. 현재 시스템 요구 사항에 대한 자세한 내용은 Sophos Central Windows Endpoint 시스템 요구 사항 또는 Sophos Central Windows Server 시스템 요구 사항을 참조하십시오.

문제 범위 정의

네트워크의 모든 장치가 보호되고 있으며 네트워크의 모든 장치에 대해 알고 있다고 가정하지 마십시오. 네트워크에서 장치를 식별하는 방법에는 여러 가지가 있으며, 이미 이런 방법을 사용하고 있을 수도 있습니다. 가장 적합한 옵션은 네트워크 크기와 세그먼테이션에 따라 다릅니다.

가장 일반적인 방법 중 하나는 네트워크 스캔을 수행하고 그 시점에 네트워크에 무엇이 있는지 감지하는 것입니다.

이를 위해 Advanced IP Scanner와 같은 타사 도구를 사용할 수 있습니다.

타사 도구를 사용하지 않으려면 Source of Infection을 사용할 수 있습니다. 이것은 무료 Sophos 도구입니다. 바이러스 백신 제품이 아니기 때문에 맬웨어를 감지하거나 제거하지는 않습니다. 이 도구를 장치에서 실행 중인 상태로 두면 해당 장치에 작성된 모든 파일이 기록됩니다. 또한 작성된 모든 파일의 목록을 포함하는 로그 파일이 생성됩니다. 각 파일의 로그 파일에는 전체 파일 경로, 작성된 날짜 및 시간, 로컬 또는 네트워크 프로세스에서 파일을 작성했는지 여부가 포함됩니다. 로컬 프로세스의 경우 작성한 파일의 이름과 경로가 나열됩니다. 네트워크 프로세스의 경우 원격 IP 주소 또는 장치 이름이 나열됩니다. 그런 다음 로그 파일을 사용하여 감지되지 않은 잠재적인 맬웨어가 포함된 장치를 식별할 수 있습니다. 예를 들면, 로그 파일을 사용하여 여러 번의 수정 시도 후에도 반복적으로 감지가 이루어지는 보호된 장치를 조사할 수 있습니다. 반복적인 감지는 네트워크의 다른 장치가 감염되어 보호된 장치를 재감염시키려고 시도하고 있음을 나타냅니다. Source of Infection은 그런 감염된 장치를 찾는 데 도움이 될 수 있습니다.

다음 참조 자료 문서에서 Source of Infection에 대한 자세한 내용을 확인할 수 있습니다.

네트워크를 스캔하려면 다음 옵션 중에서 선택합니다.

  • Advanced IP Scanner를 사용합니다. Advanced IP Scanner를 참조하십시오.

    이 도구는 무료이며 사용이 간단합니다.

    Advanced IP Scanner 도구의 스크린샷입니다.

    네트워크에 활성 장치 목록을 생성하여 Sophos 관리 소프트웨어에 나열된 장치와 교차 확인할 수 있게 합니다.

  • Source of Infection을 사용하려면 다음과 같이 하십시오.

    1. Source of Infection을 다운로드하고 SourceOfInfection.zip을 확인합니다.
    2. 조사하려는 장치로 파일을 옮깁니다.
    3. C 드라이브의 루트에 SourceOfInfection.exe의 압축을 풉니다.
    4. 관리자 권한으로 명령 프롬프트를 엽니다.
    5. SourceOfInfection.exe를 찾아 실행합니다.
    6. Enter 키를 눌러 명령을 실행합니다.

    7. Source of Infection을 실행 중인 상태로 둡니다. 이렇게 하려면 명령 프롬프트 창을 열어 놓아야 합니다.

      참고

      이미 감염된 여러 대의 장치가 네트워크에 있는 다른 장치를 감염시키려고 시도할 수 있습니다. Source of Infection을 오래 실행할수록 이 정보가 로그에 캡처될 가능성이 높아집니다.

    8. 장치에서 새로운 맬웨어 감지가 발생하면 명령 프롬프트 창을 닫아서 Source of Infection을 중지합니다.

      상황에 따라 몇 초 또는 며칠 내에 새로운 맬웨어 감지가 발생할 수 있습니다.

    9. 로그 파일을 검토하여 감염의 출처를 확인합니다. 로그 파일은 %temp%\Source of Infection Log.csv에서 찾을 수 있습니다.

      로그 파일은 Microsoft Excel 또는 텍스트 편집기에서 열 수 있는 CSV 파일입니다.

      다음 예에서는 원격 네트워크 위치에서 장치에 작성된 의심스러운 파일 두 개를 보여줍니다. 이 두 IP 주소는 감염된 장치일 가능성이 높습니다.

      감염된 두 호스트를 보여 주는 Source of Infection 로그 파일의 예입니다.

    10. 조사하려는 모든 장치에 대해 이 프로세스를 반복합니다.

    11. 감염된 장치를 검색, 격리 및 보호하여 악성 파일의 확산을 방지하십시오.

보호 상태 확인

Sophos는 위협 방지를 위한 권장 설정을 제공합니다. 이 설정은 다중 보호 계층을 사용합니다. 이 설정은 감염을 예방하고 감염을 정리하는 데 도움이 됩니다. 보호 상태를 확인하려면 다음과 같이 하십시오.

  1. 위협 방지 정책에서 권장 설정을 사용하고 있는지 확인합니다.

    다음 링크에서 이 설정에 대한 자세한 내용을 확인할 수 있습니다.

  2. 권장 설정을 사용하고 있지 않는 경우 위협 방지 정책에서 이 설정을 켭니다.

  3. 모든 권장 설정을 사용하지 않으려면 의심스러운 파일 및 네트워크 이벤트에 대한 데이터를 컴퓨터 및 서버용 Sophos Central로 보내는 옵션을 켜야 합니다. 이 작업은 수정 프로세스 후반부에 필요합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. Sophos Central Admin에 로그인하십시오.
    2. Endpoint Protection > 정책을 클릭하고 컴퓨터가 의심스러운 파일 및 네트워크 이벤트에 대한 데이터를 Sophos Central에 전송하는 것을 허용을 켭니다.
    3. Server Protection > 정책을 클릭하고 서버가 의심스러운 파일 및 네트워크 이벤트에 대한 데이터를 Sophos Central에 전송하는 것을 허용을 켭니다.

장치에 패치 적용

모든 장치에 최신 Windows 보안 패치가 적용되어 있는지 확인하십시오. EternalBlue 익스플로잇에 대한 패치가 포함되어 있어야 합니다. TrickBot 또는 Emotet은 이 익스플로잇을 확산 방법 중 하나로 사용합니다.

EternalBlue는 Microsoft SMB의 취약성을 이용하는 익스플로잇으로, 특히 WannaCry 랜섬웨어를 확산시키는 데 사용되었습니다. 장치에 패치를 적용하고 이 감염 벡터를 제거하면 Trickbot 또는 Emotet 실행을 더 어렵게 만들고 EternalBlue를 사용하는 다른 맬웨어로부터 보호할 수 있습니다.

Microsoft는 Microsoft 업데이트에서 EternalBlue용 패치를 릴리스했습니다. MS17-010. 장치에 패치가 적용되었는지 확인하는 방법은 공식 Microsoft 문서에 설명되어 있습니다. MS17-010이 설치되었는지 확인하는 방법을 참조하십시오.

Sophos에는 패치가 적용되어 있는지 확인하기 위해 개별 컴퓨터에서 실행할 수 있는 간단한 PowerShell 스크립트가 있습니다. 이에 대한 자세한 내용은 컴퓨터가 EternalBlue에 취약한지 확인하는 방법 - MS17-010을 참조하십시오.

장치에 패치를 적용하려면, 다음과 같이 하십시오.

  1. 장치가 EternalBlue에 취약한지 확인합니다.
  2. 최신 Windows 보안 패치로 장치를 업데이트합니다.

장치 스캔 및 정리

장치를 스캔하여 TrickBot 또는 Embotet 감염 사례가 얼마나 되는지 확인합니다. 그런 다음 재감염을 방지하기 위해 장치를 정리해야 합니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  1. 모든 장치에 패치가 적용되었으며 Intercept X Advanced가 설치되어 있는지 확인합니다.

  2. 모든 장치에서 전체 스캔을 실행합니다. 장치를 스캔하려면 다음과 같이 하십시오.

    1. Sophos Central Admin에 로그인하십시오.
    2. Endpoint Protection > 정책 또는 Server Protection > 정책을 클릭합니다.
    3. 위협 방지에서, 확인하려는 사용자, 컴퓨터 또는 서버에 할당된 정책을 클릭합니다.
    4. 설정을 클릭하고 예약된 스캐닝으로 스크롤합니다.
    5. 예약된 스캔 활성화를 켭니다.

    6. 스캔 실행 시간을 설정합니다.

      스캔이 진행되려면 장치가 켜져 있고 활성 상태여야 합니다.

    7. 정밀 스캐닝 사용 - 아카이브 파일 내부 스캔(.zip, .cab 등)모든 파일 스캔을 끕니다.

      모든 파일을 인덱싱하려면 전체 스캔을 수행해야 합니다. 이런 추가 설정으로 인해 인덱싱 속도가 느려지거나 일부 장치에서 스캔이 완료되지 않을 수 있습니다.

  3. 전체 스캔을 마친 후에는 Sophos Central Admin을 통해 감염을 정리해야 합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

    1. Sophos Central Admin에 로그인하고 위협 분석 센터 > 위협 검색을 클릭합니다.

    2. 일반적인 맬웨어 저장 위치를 검색합니다.

      • C:\
      • C:\Windows
      • C:\Windows\System32
      • C:\Windows\Syswow64
      • C:\ProgramData
      • C:\Users\*<Username\>*\AppData\Roaming\*<random name\>*.

    3. 맬웨어 저장 위치 중 하나로 이동하여 네트워크 연결을 클릭합니다.

      그러면 네트워크 연결을 수행하는 실행 파일만 목록에 포함됩니다. TrickBot 또는 Emotet은 확산을 시도하며 네트워크 연결을 수행해야 합니다.

    4. 눈에 잘 띄거나 잘 모르는 실행 파일을 찾습니다.

    5. 이런 각 파일에 대해 새 위협 사례 생성 및 위협 사례 내에서 최신 인텔리전스 요청을 클릭하여 추가 정보를 얻습니다.
    6. 데이터를 확인하고 필요한 경우 정리 및 차단을 클릭합니다.

    파일에 대한 자세한 내용이 필요하면 샘플을 제출하고 의심스러운 파일의 샘플을 Sophos에 제출하는 방법을 참조하십시오.

  4. 위협 사례경고에서 새로운 감지와 최근 감지를 확인합니다. TrickBot 또는 Etmotet 감지 징후를 찾습니다.

    • CXmal/Emotet-C
    • HPmal/Emotet-D
    • HPmal/TrikBot-G
    • Mal/EncPk-AN
    • HPmal/Crushr-AU
    • Troj/Inject-DTW
    • Troj/LnkRun-T
    • AMSI/Exec-P
    • Troj/Emotet-CJW

  5. 다음과 같은 감지를 확인하십시오.

    • Mal/Generic-R
    • Mal/Generic-S
    • ML/PE-A
    • Code Cave
    • APC Violation
    • Safe Browsing
    • LoadLib

  6. 위협 검색의 각 파일에 대해 이 프로세스를 반복합니다.

  7. 감염된 파일을 모두 정리합니다.
  8. 모든 장치를 다시 시작하여 메모리의 감염을 제거합니다.
  9. TrickBot 또는 Emotet의 흔적이 남지 않을 때까지 이 단계를 반복합니다.

최종 수정

여전히 감지되는 경우 네트워크의 장치에 감염이 있는 것입니다.

TrickBot 또는 Emotet 감염은 파일 및 파일리스 형태로 지속됩니다. 이를 수정하려면, 두 가지 형태로 복제하는 감염의 이런 능력을 떨어뜨려야 합니다. 이 맬웨어의 작동 방식에 대한 자세한 내용은 Emotet 및 TrickBot 맬웨어 발생 해결을 참조하십시오.

나머지 감염된 장치를 찾으려면 다음과 같이 하십시오.

  1. 이 워크플로의 단계를 반복합니다.

  2. 감지의 출처를 찾을 수 없는 경우 위협 분석 센터 > 위협 검색을 클릭하고 TrickBot 또는 Emotet이 발견된 위치를 확인합니다.

    • C:\Windows\<A Randomly Named EXE>
    • C:\windows\system32\<A Randomly Named EXE>
    • C:\Windows\Syswow64\<A Randomly Named EXE>
    • C:\stsvc.exe
    • C:\Users\<username>\AppData\Roaming\*<A Randomly Named EXE\>*
    • C:\Users\<username>\AppData\Roaming\<Six-Letter-Folder>
    • C:\ProgramData\<Randomly Named EXEs>

  3. 감지를 피해 가는 실행 파일을 찾으면 샘플을 제출합니다.

  4. 실행 파일을 찾을 수 없는 경우 Sophos MDR 신속 대응 팀에 문의하십시오.

TrickBot 또는 Emotet 수정 비디오

이 비디오에서는 이 워크플로에 대해 설명합니다.