침투와 전파
웜네트워크 취약점을 이용해 독립적으로 이동하므로 패치와 방화벽
범위가 중요하다.
트로이 목마정상 도구처럼 보이는 실행 흐름을 만들기 때문에 출처와 서명
검증이 필요하다.
악성 코드 관찰 축
바이러스와 웜은 퍼지는 방식이 다르고, 루트킷과 랜섬웨어는 시스템에 남기는 흔적과 우선 조치가 다르다.
은닉과 피해
루트킷프로세스와 파일 표시를 숨기므로 해시 비교와 오프라인 검사가
효과적이다.
랜섬웨어파일을 빠르게 암호화하므로 쓰기 권한 최소화와 복구 가능한
백업이 핵심이다.
탐지실패 로그인, 새 서비스, 시스템 파일 해시 변화를 함께 본다.
격리네트워크 차단과 계정 잠금으로 확산 경로를 먼저 끊는다.
복구신뢰 가능한 이미지와 백업에서 재배포하고 원인을 기록한다.