PLURA 서비스는 hosts 위변조를 탐지 할 수 있습니다.

 

hosts 위변조 탐지 방법

1. 리눅스에서 탐지 방법

먼저 Auditlog를 설치해 주셔야 합니다. (바로가기)

설치가 되었다면 아래 명령어를 실행해 주세요.

auditctl -w /etc/hosts -p wa -k HostsForgery

hosts에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.

 

2. 윈도우에서 탐지 방법

먼저 해당 파일에 아래와 같이 감사 설정을 해 주셔야 합니다.

C:\Windows\System32\drivers\etc\hosts (우클릭) > 속성 > 보안 > 고급 > 감사 > 추가 > 보안주체 > 관리자 계정(administrator) > 고급권한표시 > 파일 만들기 / 데이터 쓰기 > 체크 > 확인 > 적용

hosts에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.

3. 윈도우 SYSMON에서 탐지 방법

먼저 Sysmon을 설치해 주셔야 합니다. (바로가기)

hosts에 변조가 진행되면 아래와 같이 실시간으로 탐지합니다.(감사 설정 필요 없음)