이번 시간에는 Sophos Agent를 활용하여 2가지 멀웨어 탐지 테스트를 진행해보도록 하겠습니다.
[EICAR]
EICAR는 European Institute for Computer Antivirus Research의 약자로 유럽의 바이러스 예방 연구 및 바이러스 검사 소프트웨어 개발 개선을 목표로 하는 기관입니다. 특히, EICAR Test File은 안티 바이러스가 정상적으로 작동하는지 테스트를 하기 위해 제작되었습니다.
https://www.eicar.com/download-anti-malware-testfile/
Download Anti Malware Testfile - EICAR
Download Anti Malware Testfile, What is the eicar test file? Who needs the Anti-Malware Testfile, Download Anti Malware Testfile
www.eicar.com
위 사이트에서 EICAR_COM.ZIP 파일을 다운로드 받은 후에 멀웨어 탐지 테스트를 진행해보도록 하겠습니다.
다운로드를 하자마자 Sophos Agent에 의해 위협이 감지되었다는 알림이 뜨게 됩니다.
총 2개의 위협이 감지되었고, 파일을 다운로드 받은 지 1분이 안되어서 의심되는 파일이 정리된 것을 확인할 수 있습니다.
[sophostest.com]
다음은 sophostest.com에서 멀웨어 탐지 파일을 다운로드 받은 후에 멀웨어 탐지 테스트를 진행해보도록 하겠습니다.
Sophos Web Security and Control Test Site
Sophos Web Security and Control Test Site This test site contains pages classified by SophosLabs for the purpose of testing our web security and control products. Note that some pages are classified as potentially offensive or dangerous however the page co
www.sophostest.com
위 사이트에서 Sophos HIPS Test Files 중 exe 파일을 다운로드 해줍니다.
경고창이 나타나면 "계속"을 클릭해 다운로드를 이어서 진행해줍니다.
다운로드를 하자마자 Sophos Agent에 의해 위협이 감지되었다는 알림이 뜨게 됩니다.
위협이 감지되었다는 알림을 잠시 뒤로 한채로 다운로드 된 sophos_hips_test.exe 파일을 실행해줍니다.
sophos_hips_test.exe 파일을 실행하게 되면 검정색 창이 열리고 "eicar.txt.com was dropped"라는 문구가 출력되는 것을 확인할 수 있습니다.
"eicar.txt.com was dropped"라는 문구가 출력됨과 동시에 "eicar.txt.com" 파일도 다운로드 되었음을 확인할 수 있습니다.
"eicar.txt.com" 파일을 다운로드 받은 지 1분이 안되어서 의심되는 파일인 "eicar.txt.com"이 정리된 것을 확인할 수 있습니다.
[Sophos Central Portal]
Sophos Central 내부 화면에서 왼쪽 하단의 “Endpoint Protection”을 클릭해주세요.
“Endpoint Protection”에서 “컴퓨터”를 클릭하게 되면 장치이름, IP 주소, 운영체제, 설치된 제품, 마지막 사용자, 마지막 활성 상태에 대해 확인할 수 있습니다.
"장치이름"을 클릭하여 해당 장치에 발생한 멀웨어 검출 또는 EICAR 검출과 같은 이벤트에 대해 확인할 수 있습니다.
세부정보를 클릭해 더 자세한 내용을 확인할 수 있습니다.
'대외활동 > Sophos 대학생 기자단' 카테고리의 다른 글
| 백신 agent 삭제 (0) | 2023.04.11 |
|---|---|
| Data Loss Prevention(DLP) (0) | 2023.04.11 |
| Web 예외처리 (0) | 2023.04.06 |
| Sophos Endpoint 백신 설치하기 (0) | 2023.04.02 |
