Embed Size (px)
DESCRIPTION
WebShell Finder. 인제대학교 정보보호동아리 돗 - 가비. Agenda. 소개 메뉴 설명 사용법 알려진 문제. Webshell Finder 소개. Webshell Web 기반에서 작동하는 쉘 프로그램 (PHP, ASP, JSP 등 ) Webshell Attack OWASP Top10 : 취약한 인증 및 세션 관리외 9 개 항목에 대한 공개 웹 취약점 목록 ( http://www.owasp.org ) - PowerPoint PPT Presentation
Citation preview
WebShellWebShell FinderFinder
인제대학교 정보보호동아리 돗인제대학교 정보보호동아리 돗 -- 가비가비
23年 4月 19日23年 4月 19日
AgendaAgenda
소개소개
메뉴 설명메뉴 설명
사용법사용법
알려진 문제알려진 문제
23年 4月 19日
Webshell Finder Webshell Finder 소개소개 WebshellWebshell
Web 기반에서 작동하는 쉘 프로그램 (PHP, ASP, JSP 등 )
Webshell AttackWebshell Attack OWASP Top10 : 취약한 인증 및 세션 관리외 9 개 항목에 대한 공개 웹 취약점 목록 (http://www.owasp.org) SANS Top20 : 미 FBI 국가기반보호센터 (NIPC) 에서 제공하는 치명적인 20 가지 취약점 목록 (http://www.sans.org/top20) 웹 해킹 변조 및 피싱경유지등 신고건수 ‘ 2,698’ 건
2009 년 02 월 KISA 인터넷침해사고 동향 및 분석 월보 기준 해킹피해를 입은 서버 약 80 건에서 90% 이상 웹셀 발견 (2007 년 조사 )
23年 4月 19日
웹서비스의 퍼포먼스에 영향을 끼치지 않으며 부가적인 로그를 증가시키지 않는 운용위험을 담보로 하지 않는 WebShell 탐지 /제거 도구
Webshell Finder Webshell Finder 소개소개 How to Detect Webshell Attack By WSFHow to Detect Webshell Attack By WSF
평문 웹셀 업로딩 이후 절대경로 접근방법에서 최근 다양한 방법 (UNICODE, BASE64등 ) 으로 인코딩되어 세션 및 ID/PW 인증을 이용한 접근제어로 진화
23年 4月 19日
Language Common Patten
ASP명령어 수행을 위해 Wscript.Shell, Shell.Application 객체 사용ScriptEncoder 을 이용한 백신 우회
JSP명령어 수행을 위해 Runtime.getRuntime 객체 사용Javascript 와 연동하여 문자열 치환과 조작으로 탐지 우회
PHP명령어 수행을 위해 passthru, system 함수 사용러시아에서 개발된 r57shell 은 상용 웹 관리 도구로 활용 수준
중국어 간체 사용 유무FileSystemObject 을 공통적으로 사용시스템 권한 접근 및 명령 실행 함수 및 객체 사용 유무 HTTP GET 메소드를 사용하는 웹셀의 Parameter 검사Webshell 별 특정 문자열 존재 (ASCII,
BASE64,Eval(),HEX)
행위기반 Signature 탐지
Webshell Finder Webshell Finder 소개소개 How to Detect Webshell Attack By WSFHow to Detect Webshell Attack By WSF
MAC(Modify,Access,Changed) Timeline 기준 검색 정상파일의 MAC Time 기준 검색 사용자 지정 MAC Time 검색
최신 Webshell DB 구축 보안전문인력의 최신 Webshell 수집 /분석 공개 커뮤니티를 통한 Webshell 변종 수집 /분석
23年 4月 19日
Webshell DB
1. 전체 Signature 적용
2. Signature 별 가중치 부여
3. 탐지점수를 통한 격리 /삭제
Webshell Finder Webshell Finder 소개소개 How to Install Webshell FinderHow to Install Webshell Finder
최신버전 다운로드 http://pds13.egloos.com/pds/200906/20/79/WSF.exe 한 번의 클릭으로 설치 및 실행 가능 (Standalone Version)
23年 4月 19日
메뉴 설명메뉴 설명
① ① : WSF: WSF 의 검색 의 검색 / / 삭제 기능과 옵션 및 삭제 기능과 옵션 및 DB DB 설정 부분입니다설정 부분입니다 .. ② ② : WSF: WSF 에서 찾은 내용을 모니터링 할 수 있습니다에서 찾은 내용을 모니터링 할 수 있습니다 ..
메뉴 설명메뉴 설명
웹셀을 검색합니다웹셀을 검색합니다 ..
웹셀을 검색할 때 압축파일 웹셀을 검색할 때 압축파일 (Zip)(Zip) 내부의 검사여부를 결정합니다내부의 검사여부를 결정합니다 ..
특정 날짜를 기준점으로 찾을 수 있습니다특정 날짜를 기준점으로 찾을 수 있습니다 ..
메뉴 설명메뉴 설명
현재 현재 WSFWSF 의 데이터베이스를 최신의 데이터베이스로 업데이트 합니다의 데이터베이스를 최신의 데이터베이스로 업데이트 합니다 . . WSFWSF 는 데이터베이스 내의 패턴값을 비교해서 검색하기 때문에 항상 는 데이터베이스 내의 패턴값을 비교해서 검색하기 때문에 항상 최신의 데이터베이스를 가질 수 있도록 업데이트 해주는 것이 좋습니다최신의 데이터베이스를 가질 수 있도록 업데이트 해주는 것이 좋습니다 ..
메뉴 설명메뉴 설명
현재 현재 DBDB 의 내용을 사용자가 직접 수정할 수 있습니다의 내용을 사용자가 직접 수정할 수 있습니다 . . 최신의 최신의 DBDB 에 에 등록되지 않은 패턴이라도 직접 추가하여 검출할 수 있습니다등록되지 않은 패턴이라도 직접 추가하여 검출할 수 있습니다 ..
메뉴 설명메뉴 설명
WSFWSF 는 서버 내의 웹셀을 검색 후 삭제하는 기능을 가지고 있습니다는 서버 내의 웹셀을 검색 후 삭제하는 기능을 가지고 있습니다 . . 웹셀 검색 후 선택한 파일들을 삭제해 주는 기능입니다웹셀 검색 후 선택한 파일들을 삭제해 주는 기능입니다 . . 한번 삭제된 한번 삭제된 파일은 복구되지 않으므로 사용자의 주의를 요합니다파일은 복구되지 않으므로 사용자의 주의를 요합니다 ..
메뉴 설명메뉴 설명
WSFWSF 의 로그를 확인합니다의 로그를 확인합니다 . . 로그는 로그는 WSFWSF 가 작동할 때의 상황이 가 작동할 때의 상황이 기록됩니다기록됩니다 . .
로그 내용 예로그 내용 예 Pattern File Open Error! : Pattern File Open Error! : 데이터베이스 파일을 읽을 수 없을 때데이터베이스 파일을 읽을 수 없을 때 Delete File : Delete File : 웹셀 검색 후 선택파일을 삭제했을 때웹셀 검색 후 선택파일을 삭제했을 때
메뉴 설명메뉴 설명
검색 폴더 검색 폴더 : : 웹셀 검색을 실행할 때 대상이 되는 폴더웹셀 검색을 실행할 때 대상이 되는 폴더 검색 파일 검색 파일 : : 웹셀 검색을 실행했을 때 검색된 파일웹셀 검색을 실행했을 때 검색된 파일 파일 목록 파일 목록 : WSF: WSF 가 찾은 웹셀의 목록이 표시됩니다가 찾은 웹셀의 목록이 표시됩니다 .. 모두 선택 모두 선택 : : 파일 목록에 출력된 파일들을 모두 선택합니다파일 목록에 출력된 파일들을 모두 선택합니다 ..
튜토리얼 튜토리얼 – – 일반 검색일반 검색
을 클릭하면 검색 대상폴더를 설정해 주어야 합니다을 클릭하면 검색 대상폴더를 설정해 주어야 합니다 . . 서버의 홈 디렉토리나 검색하고 싶은 특정 폴더를 지정해 줍니다서버의 홈 디렉토리나 검색하고 싶은 특정 폴더를 지정해 줍니다 ..
튜토리얼 튜토리얼 – – 일반 검색일반 검색
검색 폴더를 지정하면 검색을 시작합니다검색 폴더를 지정하면 검색을 시작합니다 . .
튜토리얼 튜토리얼 – – 일반 검색일반 검색
모두 선택을 클릭하고 를 클릭하면 삭제가 진행됩니다모두 선택을 클릭하고 를 클릭하면 삭제가 진행됩니다 ..
튜토리얼 튜토리얼 – – 압축 파일 검색압축 파일 검색
압축파일압축파일 (Zip) (Zip) 옵션을 이용해서 검사를 해보겠습니다옵션을 이용해서 검사를 해보겠습니다 ..
튜토리얼 튜토리얼 – – 압축 파일 검색압축 파일 검색
각 압축 파일내에 존재하는 웹셀을 찾을 수 있습니다각 압축 파일내에 존재하는 웹셀을 찾을 수 있습니다 . . 참조 필드를 참조 필드를 통해 압축 파일을 확인 할 수 있습니다통해 압축 파일을 확인 할 수 있습니다 . . 압축파일 내의 웹셀 압축파일 내의 웹셀 삭제기능은 지원하지 않습니다삭제기능은 지원하지 않습니다 ..
튜토리얼 튜토리얼 – – 패턴 추가하기패턴 추가하기
을 이용하여 직접 패턴을 추가 을 이용하여 직접 패턴을 추가 / / 수정할 수 있습니다수정할 수 있습니다 ..
임의의 임의의 php php 파일 생성 후 이 파일의 내용에 파일 생성 후 이 파일의 내용에 ““ ollyTestWebShell”ollyTestWebShell”를 추가한 뒤 이 패턴으로 검색할 수 있습니다를 추가한 뒤 이 패턴으로 검색할 수 있습니다 ..
튜토리얼 튜토리얼 – – 패턴 추가하기패턴 추가하기
을 클릭 한 후에 패턴을 추가해 줍니다을 클릭 한 후에 패턴을 추가해 줍니다 . . * * 주의 주의 : : 최상단 패턴숫자도 최상단 패턴숫자도 201201 에서 하나가 추가되었으므로 에서 하나가 추가되었으므로 202202 로 수정로 수정
튜토리얼 튜토리얼 – – 패턴 추가하기패턴 추가하기
미리 작성해 둔 미리 작성해 둔 phpphp 파일을 찾은것을 확인 할 수 있습니다파일을 찾은것을 확인 할 수 있습니다 ..
알려진 문제점알려진 문제점
압축 파일 오류압축 파일 오류 용량이 500MB 이상인 ZIP 파일의 경우 , 압축 라이브러리 자체의 문제로 실행
에러 발생시키므로 압축 해제 후 검색 추천 암호가 걸린 ZIP 파일의 경우 에러를 발생 시킴
DotNet FrameworkDotNet Framework MS 의 닷넷 프레임웍 2.0 이상에서 작동하므로 실행 불가시 다음 업데이트 수행 http://msdn.microsoft.com/ko-kr/netframework/default.aspx
WSF WSF 일정 계획일정 계획
23年 4月 19日
일시 내 용
2009. 03. 25
Webshell Finder v1.0 Beta
2009. 04. 07
Webshell Finder 공개
2009. 04.31
Webshell Finder 버그 제거 (v1.0 Release)
2009. 09. 31
Webshell Finder 기능 추가 (Webshell Decoder)
2009. 12. 31
Webshell Finder 기능 확대 계획 수립
구 분6 월 7 월 8 월 9 월
4 1 2 3 4 1 2 3 4 1
V1.0 Beta Releae
V1.0 Beta 버그 제거
기능 추가
DB Update
( 단위 : 주 )
( 단위 : 주 )
Q/AQ/A
23年 4月 19日
End of DocumentEnd of Document
