NHN HIDS Overview

Download Report

Transcript NHN HIDS Overview 

WebShell Finder
인제대학교 정보보호동아리 돗-가비
2015-07-20
Agenda
 소개
 메뉴 설명
 사용법
 알려진 문제
2015-07-20
Webshell Finder 소개
 Webshell

Web 기반에서 작동하는 쉘 프로그램(PHP, ASP, JSP등)
 Webshell Attack



OWASP Top10 : 취약한 인증 및 세션 관리외 9개 항목에 대한 공개 웹 취약점 목록
(http://www.owasp.org)
SANS Top20 : 미 FBI 국가기반보호센터(NIPC)에서 제공하는 치명적인 20가지
취약점 목록 (http://www.sans.org/top20)
웹 해킹 변조 및 피싱경유지등 신고건수 ‘2,698’건
 2009년 02월 KISA 인터넷침해사고 동향 및 분석 월보 기준
 해킹피해를 입은 서버 약 80건에서 90%이상 웹셀 발견 (2007년 조사)
웹서비스의 퍼포먼스에 영향을 끼치지 않으며 부가적인 로그를 증가시키지
않는 운용위험을 담보로 하지 않는 WebShell 탐지/제거 도구
2015-07-20
Webshell Finder 소개
 How to Detect Webshell Attack By WSF

평문 웹셀 업로딩 이후 절대경로 접근방법에서 최근 다양한 방법(UNICODE, BASE6
4등)으로 인코딩되어 세션 및 ID/PW 인증을 이용한 접근제어로 진화
Language
Common Patten
ASP
명령어 수행을 위해 Wscript.Shell, Shell.Application 객체 사용
ScriptEncoder을 이용한 백신 우회
JSP
명령어 수행을 위해 Runtime.getRuntime 객체 사용
Javascript와 연동하여 문자열 치환과 조작으로 탐지 우회
PHP
명령어 수행을 위해 passthru, system 함수 사용
러시아에서 개발된 r57shell은 상용 웹 관리 도구로 활용 수준
중국어 간체 사용 유무
FileSystemObject을 공통적으로 사용
시스템 권한 접근 및 명령 실행 함수 및 객체 사용 유무
HTTP GET 메소드를 사용하는 웹셀의 Parameter 검사
Webshell별 특정 문자열 존재(ASCII, BASE64,Eval(),HEX)
2015-07-20
행위기반 Signature 탐지
Webshell Finder 소개
 How to Detect Webshell Attack By WSF

MAC(Modify,Access,Changed) Timeline 기준 검색
 정상파일의 MAC Time 기준 검색
 사용자 지정 MAC Time 검색

최신 Webshell DB 구축
 보안전문인력의 최신 Webshell 수집/분석
 공개 커뮤니티를 통한 Webshell 변종 수집/분석
MAC TIME
1.
2.
Webshell DB
Signature Counting
Remove Webshell
2015-07-20
3.
전체 Signature 적용
Signature별 가중치
부여
탐지점수를 통한 격
리/삭제
Webshell Finder 소개
 How to Install Webshell Finder

최신버전 다운로드
 http://pds13.egloos.com/pds/200906/20/79/WSF.exe
 한 번의 클릭으로 설치 및 실행 가능(Standalone Version)
2015-07-20
메뉴 설명
 ① : WSF의 검색 / 삭제 기능과 옵션 및 DB 설정 부분입니다.
 ② : WSF에서 찾은 내용을 모니터링 할 수 있습니다.
메뉴 설명
 웹셀을 검색합니다.
 웹셀을 검색할 때 압축파일 (Zip) 내부의 검사여부를 결정합니다.
 특정 날짜를 기준점으로 찾을 수 있습니다.
메뉴 설명
 현재 WSF의 데이터베이스를 최신의 데이터베이스로 업데이트 합니다.
WSF는 데이터베이스 내의 패턴값을 비교해서 검색하기 때문에 항상 최
신의 데이터베이스를 가질 수 있도록 업데이트 해주는 것이 좋습니다.
메뉴 설명
 현재 DB의 내용을 사용자가 직접 수정할 수 있습니다. 최신의 DB에 등
록되지 않은 패턴이라도 직접 추가하여 검출할 수 있습니다.
메뉴 설명
 WSF는 서버 내의 웹셀을 검색 후 삭제하는 기능을 가지고 있습니다. 웹
셀 검색 후 선택한 파일들을 삭제해 주는 기능입니다. 한번 삭제된 파일
은 복구되지 않으므로 사용자의 주의를 요합니다.
메뉴 설명
 WSF의 로그를 확인합니다. 로그는 WSF가 작동할 때의 상황이 기록됩
니다.
 로그 내용 예
 Pattern File Open Error! : 데이터베이스 파일을 읽을 수 없을 때
 Delete File : 웹셀 검색 후 선택파일을 삭제했을 때
메뉴 설명
 검색 폴더 : 웹셀 검색을 실행할 때 대상이 되는 폴더
 검색 파일 : 웹셀 검색을 실행했을 때 검색된 파일
 파일 목록 : WSF가 찾은 웹셀의 목록이 표시됩니다.
 모두 선택 : 파일 목록에 출력된 파일들을 모두 선택합니다.
튜토리얼 – 일반 검색

을 클릭하면 검색 대상폴더를 설정해 주어야 합니다. 서
버의 홈 디렉토리나 검색하고 싶은 특정 폴더를 지정해 줍니다.
튜토리얼 – 일반 검색
 검색 폴더를 지정하면 검색을 시작합니다.
튜토리얼 – 일반 검색
 모두 선택을 클릭하고
를 클릭하면 삭제가 진행됩니다.
튜토리얼 – 압축 파일 검색
 압축파일(Zip) 옵션을 이용해서 검사를 해보겠습니다.
튜토리얼 – 압축 파일 검색
 각 압축 파일내에 존재하는 웹셀을 찾을 수 있습니다. 참조 필드를
통해 압축 파일을 확인 할 수 있습니다. 압축파일 내의 웹셀 삭제기
능은 지원하지 않습니다.
튜토리얼 – 패턴 추가하기

을 이용하여 직접 패턴을 추가 / 수정할 수 있습니다.
 임의의 php 파일 생성 후 이 파일의 내용에 “ollyTestWebShell”를
추가한 뒤 이 패턴으로 검색할 수 있습니다.
튜토리얼 – 패턴 추가하기

을 클릭 한 후에 패턴을 추가해 줍니다.
* 주의 : 최상단 패턴숫자도 201에서 하나가 추가되었으므로 202로 수정
튜토리얼 – 패턴 추가하기
 미리 작성해 둔 php파일을 찾은것을 확인 할 수 있습니다.
알려진 문제점
 압축 파일 오류
 용량이 500MB 이상인 ZIP 파일의 경우, 압축 라이브러리 자체의 문제로 실행
에러 발생시키므로 압축 해제 후 검색 추천
 암호가 걸린 ZIP 파일의 경우 에러를 발생 시킴
 DotNet Framework
 MS의 닷넷 프레임웍 2.0 이상에서 작동하므로 실행 불가시 다음 업데이트 수행
 http://msdn.microsoft.com/ko-kr/netframework/default.aspx
WSF 일정 계획
일시
내
용
2009. 03. 25
Webshell Finder v1.0 Beta
2009. 04. 07
Webshell Finder 공개
2009. 04.31
Webshell Finder 버그 제거 (v1.0 Release)
2009. 09. 31
Webshell Finder 기능 추가 (Webshell Decoder)
2009. 12. 31
Webshell Finder 기능 확대 계획 수립
( 단위 : 주 )
구
분
V1.0 Beta Releae
V1.0 Beta 버그 제거
기능 추가
DB Update
2015-07-20
6월
4
7월
1
2
8월
3
4
1
2
9월
3
4
1
Q/A
2015-07-20
End of Document