공격 표면 감소 규칙 데모

이 문서에서는 엔드포인트용 Microsoft Defender ASR(공격 표면 감소) 규칙을 보여 주는 테스트 파일, 스크립트 및 절차를 제공합니다.

ASR 규칙은 공격자가 일반적으로 맬웨어를 통해 악용하는 Windows 디바이스의 위험한 소프트웨어 동작을 대상으로 합니다(예: 파일을 다운로드하는 스크립트 시작, 난독 처리된 스크립트 실행 및 다른 프로세스에 코드 삽입). ASR 규칙에 대한 자세한 내용은 ASR(공격 표면 감소) 규칙 개요를 참조하세요.

필수 구성 요소

PowerShell 명령

사용 가능한 모든 ASR 규칙을 사용하도록 설정하려면 관리자 권한 PowerShell 창( 관리자 권한으로 실행을 선택한 후 연 PowerShell 창)에서 다음 명령을 실행합니다.

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,Enabled,AuditMode,AuditMode

ASR 규칙 이름 및 연결된 GUID 값은 테스트 파일 섹션에 나열됩니다.

구성 확인

ASR 규칙의 상태를 확인하려면 관리자 권한 PowerShell 창에서 다음 명령을 실행합니다.

$p = Get-MpPreference

$ids     = @($p.AttackSurfaceReductionRules_Ids)
$actions = @($p.AttackSurfaceReductionRules_Actions)

for ($i = 0; $i -lt [Math]::Min($ids.Count, $actions.Count); $i++) {
    [pscustomobject]@{
        RuleId = $ids[$i]
        Action = $actions[$i]
    }
}

사용 가능한 규칙 상태는 다음 표에 설명되어 있습니다.

모드 텍스트
숫자
해제 사용 안 함 0
차단 모드에서 사용 사용 1
감사 모드에서 사용 AuditMode 2
구성되지 않음 구성되지 않음 5
경고 모드에서 사용 경고 6

파일 테스트

다음 표에서는 ASR 규칙 이름을 해당 GUID 값과 연결합니다.

규칙 이름 링크는 사용 가능한 테스트 파일에 대한 링크입니다. 일부 테스트 파일에는 여러 ASR 규칙을 트리거하는 여러 익스플로잇이 포함되어 있습니다.

GUID 값 링크는 규칙 세부 정보에 대한 링크입니다.

GUID 값 규칙 이름
01443614-cd74-433a-b99e-2ecdc07bfc25 실행 파일이 보급, 연령 또는 신뢰할 수 있는 목록 조건을 충족하지 않는 한 실행 파일의 실행 차단
26190899-1602-49e8-8b27-eb1d0a1ce869 Office 통신 애플리케이션이 자식 프로세스를 만들지 못하도록 차단
33ddedf1-c6e0-47cb-833e-de6133960387 안전 모드에서 컴퓨터 다시 부팅 차단
3b576869-a4ec-4529-8536-b80a7769e899 Office 애플리케이션이 실행 파일 콘텐츠를 만들지 못하도록 차단
56a863a9-875e-4185-98a7-b882c64b5ce5 악용된 취약한 서명된 드라이버의 남용 차단(디바이스)
5beb7efe-fd9a-4556-801d-275e5ffc04cc 잠재적으로 난독 처리된 스크립트의 실행 차단
75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Office 애플리케이션이 다른 프로세스에 코드를 삽입하지 못하도록 차단
7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Adobe Reader가 자식 프로세스를 만들지 못하도록 차단
92e97fa1-2edf-4476-bdd6-9dd0b4ddddc7b Office 매크로에서 Win32 API 호출 차단
9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Windows 로컬 보안 기관 하위 시스템에서 자격 증명 도용 차단
a8f5898e-1dc8-49a9-9878-85004b8a61e6 서버에 대한 Webshell 만들기 차단
b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단
be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 전자 메일 클라이언트 및 웹 메일에서 실행 파일 콘텐츠 차단
c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb 복사되거나 가장된 시스템 도구의 사용 차단
c1db55ab-c21a-4637-bb3f-a12568109d35 랜섬웨어에 대한 고급 보호 사용
d1e49aac-8f56-4280-b9ba-993a6d77406c PSExec 및 WMI 명령에서 시작된 프로세스 만들기 차단
d3e037e1-3eb8-44c8-a917-57927947596d JavaScript 또는 VBScript가 다운로드한 실행 파일 콘텐츠를 시작하지 못하도록 차단
d4f940ab-401b-4efc-aadc-ad5f3c50688a 모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단
e6db77e5-3df2-4cf1-b95a-636979351e5b WMI 이벤트 구독을 통한 지속성 차단

시나리오

설정

  1. 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 실행 정책을 무제한으로 설정합니다.

    Set-ExecutionPolicy Unrestricted
    
  2. 설치 스크립트를 다운로드, 추출 및 실행합니다.

    또는 다음 수동 단계를 대신 수행할 수 있습니다.

    1. C:\Demo 폴더를 만듭니다.
    2. 클린 파일을 C:\Demo에 저장합니다.
    3. PowerShell 명령을 사용하여 모든 규칙을 사용하도록 설정합니다.

시나리오 1: 공격 표면 감소는 여러 취약성이 있는 테스트 파일을 차단합니다.

  1. PowerShell 명령을 사용하여 차단 모드에서 모든 규칙을 사용하도록 설정합니다.
  2. 테스트 파일/문서를 다운로드하여 엽니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다.

예상 결과:

"작업 차단됨" 알림이 즉시 표시됩니다.

시나리오 2: ASR 규칙은 해당 취약성으로 테스트 파일을 차단합니다.

  1. 테스트하려는 개별 규칙을 구성합니다. 예를 들어 모든 Office 애플리케이션이 자식 프로세스 규칙을 만들지 못하도록 차단 규칙을 사용하도록 설정하려면 관리자 권한 PowerShell 창에서 다음 명령을 실행합니다.

    Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled
    
  2. 테스트하려는 규칙에 대한 테스트 파일/문서를 다운로드하여 엽니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다. 예시:

    모든 Office 애플리케이션에서 자식 프로세스를 만들지 못하도록 차단

예상 결과:

"작업 차단됨" 알림이 즉시 표시됩니다.

시나리오 3: ASR 규칙은 신뢰할 수 없는 파일이 USB 드라이브에서 실행되지 않도록 차단합니다.

이 ASR 규칙은 Windows 10 버전 1709(2017년 10월) 이상에서 사용할 수 있습니다.

  1. 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 USB ASR 규칙 에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 을 사용하도록 설정합니다.

    Add-MpPreference -AttackSurfaceReductionRules_Ids b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 -AttackSurfaceReductionRules_Actions Enabled
    
  2. 다음 파일을 USB 드라이브에 직접 다운로드하거나 다른 곳에서 다운로드한 후 USB 드라이브에 복사합니다.

    이동식 USB 미디어 내에서 신뢰할 수 없거나 서명되지 않은 실행 파일의 실행 차단

  3. USB 드라이브에서 파일을 실행합니다.

예상 결과:

"작업 차단됨" 알림이 즉시 표시됩니다.

시나리오 4: 공격 표면 감소 없이 발생하는 일

  1. 정리 섹션에서 PowerShell 명령을 사용하여 모든 공격 표면 감소 규칙을 끕니다.

  2. 테스트 파일/문서를 다운로드합니다. 메시지가 표시되면 편집 및 콘텐츠를 사용하도록 설정합니다.

예상 결과:

  • C:\Demo의 파일은 암호화되며 경고 메시지가 표시됩니다.
  • 테스트 파일을 다시 실행하여 파일의 암호를 해독합니다.

정리

클린 스크립트를 다운로드, 추출 및 실행합니다.

또는 관리자 권한 PowerShell 창에서 다음 명령을 실행하여 모든 ASR 규칙을 사용하지 않도록 설정할 수 있습니다.

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,56a863a9-875e-4185-98a7-b882c64b5ce5,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,a8f5898e-1dc8-49a9-9878-85004b8a61e6,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,e6db77e5-3df2-4cf1-b95a-636979351e5b,26190899-1602-49e8-8b27-eb1d0a1ce869,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled,Disabled

암호화/암호 해독 파일을 실행하여 C:\Demo 암호화를 정리합니다.