문서 내용 표시숨기기

감염호스트 상세분석

특정 감염호스트에 대한 상세한 분석 정보를 보여줍니다. 호스트가 악성코드를 다운로드 받은 시간, C&C 트래픽 및 이상 트래픽이 발생한 시간 등을 타임라인으로 조회할 수 있도록 제공합니다. 또한 감염된 악성코드에 대한 상세한 정보를 확인할 수 있습니다.

조회 기간

우측 상단에서 조회기간을 선택하면 해당 시간을 기준으로 분석된 정보를 보여줍니다. 현재 시간을 기준으로 최근 1시간, 최근 24시간, 최근 2주, 최근 4주, 최근 1개월, 최근 3개월, 3개월 이전을 선택할 수 있습니다.

호스트 일반 정보

감염호스트의 IP 주소를 보여주고 감염호스트에서 감염과 관련하여 참고할 수 있는 일반적인 정보를 보여줍니다.

• MAC Address: MAC 주소
• OS: 운영체제 정보
• Web Browser: 웹 브라우저 및 사용 버전
• Agent Version: 감염호스트에 설치된 에이전트 버전
• TrusWatcher Controller: 에이전트와 연결된 TrusWatcher contoller의 IP 주소
• 명령 수행 결과: TrusAnalyzer를 통해 에이전트로 전송된 명령의 수행 결과. 상세로그 보기를 클릭하면 악성코드 대응 로그가 출력되며 로그에서 명령 별 수행 결과를 상세히 확인할 수 있습니다.
• 완료: 완료된 명령 갯수
• 미해결: 수행이 완료되지 않은 명령 갯수
• 실패: 실패한 명령 갯수

타임라인

 조회 기간 동안 감염호스트로 유입된 악성코드에 대한 탐지 정보를 타임라인으로 보여줍니다. 악성코드, C&C 트래픽, DDoS 트래픽이 탐지된 시간과 갯수가 표시됩니다.  

• Critical: 알려지지 않은 악성코드 수, C&C 트래픽 수, DDoS 트래픽 수
• High:  알려진 악성코드, 감염 가능성이 높은 의심파일 수, C&C 트래픽 수, DDoS 트래픽 수
• Suspicious: 감염 가능성이 있는 의심파일 수, C&C 트래픽 수, DDoS 트래픽 수

특정 시간에 대한 상세한 정보를 보려면 타임라인에서 상세히 보고 싶은 영역을 드레그한 후 선택영역 상세보기를 클릭합니다.

타임라인 상세보기

선택한 시간 동안 발생한 악성코드, C&C 트래픽, DDoS 트래픽에 대한 상세 정보를 보여줍니다. 시간순서에 따라 악성코드 탐지 시각,  C&C  트래픽, DDoS 트래픽 탐지 시각을 보여주며 악성코드의 위험도, 악성코드 종류 및 이름 등을 확인할 수 있습니다. 이전을 클릭하면 감염호스트 목록 화면으로 이동합니다.

• 탐지 종류
• 악성코드가 탐지된 시점을 표시합니다.
• C&C 트래픽이 탐지된 시점을 표시합니다.
• DDoS 트래픽이 탐지된 시점을 표시합니다.
• 위험도
• 붉은색은 Critical 위험도, 색이 표시된 칸은 level을 표시합니다.
• 주황색은 High 위험도, 색이 표시된 칸은 level을 표시합니다.
• 회색은 Suspicious 위험도, 색이 표시된 칸은 level을 표시합니다.
• 악성코드 유형/이름
• Undefined: 알려지지 않은 파일
• Suspicious: 의심파일
• Trojan, Dropper 등 악성코드 유형 표시: 알려진 악성코드

악성코드 요약 정보

감염호스트에서 탐지된 악성코드에 대한 상세 정보를 보여줍니다.

• 해시값(MD5): 악성코드의 해시값. MD5 값을 클릭하면 해당 악성코드에 대한 상세 정보를 보여주는 악성코드 탐지현황으로 이동합니다.
• 위험도: 악성코드의 위험도 및 level 표시
• 진단명: 악성코드 타입. 을 클릭하면 해당 악성코드에 대한 일반정보를 확인할 수 있습니다. 악성코드 타입을 클릭하면 동일한 악성코드 타입으로 탐지된 악성코드 목록을 보여주는 악성코드 탐지현황으로 이동합니다.
• 제거: 악성코드에 대한 제거 명령을 수행한 결과
• 완료: 완료된 명령 갯수
• 미해결: 수행이 완료되지 않은 명령 갯수
• 실패: 실패한 명령 갯수
• 탐지 횟수: 감염호스트에서 악성코드가 탐지된 횟수
• C&C 트래픽: 악성코드가 C&C 서버와 통신한 트래픽
• 최근 감염 경로: 악성코드가 감염된 최근 경로
• WEB: 악성코드를 다운로드 받은 URL
• Mail: 악성코드를 보낸 송신자 메일주소
• ETC: 악성코드를 보낸 IP 주소

악성코드 이름 하단의 상세정보 보기를 클릭하면 악성코드와 관련된 추가적인 정보를 확인할 수 있습니다.

• 악성코드 정보
• 파일 이름: 악성코드가 탐지된 파일 이름
• 프로토콜: 악성코드에 감염될 때 사용된 프로토콜
• 서비스: 악성코드에 감염될 때 사용된 서비스
• 최초 탐지 시각: 악성코드가 탐지된 최초 시각
• 최근 탐지 시각: 악성코드가 탐지된 최근 시각
• 감염 경로: 악성코드를 감염시킨 경로. URL, Mail, 기타 경로
• Header: 파일의 Header 정보. Header의 View를 누르면 파일의 전체 Header 정보를 보여줍니다.
• C&C 트래픽
• C&C 서버: 악성코드가 접속한 C&C 서버
• 위치: C&C 서버의 IP 주소에 해당되는 국가/도시
• 최초 탐지 시각: C&C 트래픽이 탐지된 최초 시각
• 최근 탐지 시각: C&C 트래픽이 탐지된 최근 시각
• 포트: C&C 서버로 접속 시 사용한 포트
• 프로토콜: C&C 서버로 접속 시 사용한 프로토콜

감염호스트 대응 명령

감염호스트에 대해 아래와 같이 다양한 대응행동을 수행할 수 있습니다.

악성코드 제거

감염호스트에서 악성코드를 제거할 수 있습니다. 악성코드 요약 정보의 제거가 실패 또는 미완료일 경우 제거 명령을 내려 감염호스트를 치료하도록 권장합니다.

악성코드 요약 정보에서 제거할 악성코드의 체크박스를 선택한 후 제거을 클릭합니다. 자세한 내용은 제거 명령을 참고합니다.

제거된 파일 복원

악성코드 요약 정보에서 제거가 완료된 파일 중 정상파일이 존재할 경우 이를 복원할 수 있습니다.

악성코드 요약 정보에서 복원할 악성코드의 체크박스를 선택한 후 복원을 클릭합니다. 자세한 내용은 복원 명령을 참고합니다.

이전 화면으로 이동

이전을 클릭하면 감염호스트 목록 화면으로 이동합니다.

관련 항목

• 악성코드 탐지 결과
• 악성코드 대응 결과
• 에이전트 명령 정책
• 악성코드 탐지 로그
• 악성코드 대응 로그
• Malsite 필터 로그
• 보고서 종류