250 likes | 1.17k Views
WebShell Finder. 인제대학교 정보보호동아리 돗 - 가비. Agenda. 소개 메뉴 설명 사용법 알려진 문제. Webshell Finder 소개. Webshell Web 기반에서 작동하는 쉘 프로그램 (PHP, ASP, JSP 등 ) Webshell Attack OWASP Top10 : 취약한 인증 및 세션 관리외 9 개 항목에 대한 공개 웹 취약점 목록 ( http://www.owasp.org )
E N D
WebShellFinder 인제대학교 정보보호동아리 돗-가비
Agenda 소개 메뉴 설명 사용법 알려진 문제
Webshell Finder 소개 • Webshell • Web 기반에서 작동하는 쉘 프로그램(PHP, ASP, JSP등) • Webshell Attack • OWASP Top10 : 취약한 인증 및 세션 관리외 9개 항목에 대한 공개 웹 취약점 목록 (http://www.owasp.org) • SANS Top20 : 미 FBI 국가기반보호센터(NIPC)에서 제공하는 치명적인 20가지 취약점 목록 (http://www.sans.org/top20) • 웹 해킹 변조 및 피싱경유지등 신고건수 ‘2,698’건 • 2009년 02월 KISA 인터넷침해사고 동향 및 분석 월보 기준 • 해킹피해를 입은 서버 약 80건에서 90%이상 웹셀 발견 (2007년 조사)
Webshell Finder 소개 중국어 간체 사용 유무 FileSystemObject을 공통적으로 사용 시스템 권한 접근 및 명령 실행 함수 및 객체 사용 유무 HTTP GET 메소드를 사용하는 웹셀의Parameter 검사 Webshell별 특정 문자열 존재(ASCII, BASE64,Eval(),HEX) 행위기반 Signature 탐지 • How to Detect Webshell Attack By WSF • 평문 웹셀 업로딩 이후 절대경로 접근방법에서 최근 다양한 방법(UNICODE, BASE64등)으로 인코딩되어 세션 및 ID/PW 인증을 이용한 접근제어로 진화
Webshell Finder 소개 • 전체 Signature 적용 • Signature별 가중치 부여 • 탐지점수를 통한 격리/삭제 Webshell DB • How to Detect Webshell Attack By WSF • MAC(Modify,Access,Changed)Timeline 기준 검색 • 정상파일의 MAC Time 기준 검색 • 사용자 지정 MAC Time 검색 • 최신 Webshell DB 구축 • 보안전문인력의 최신 Webshell 수집/분석 • 공개 커뮤니티를 통한 Webshell 변종 수집/분석
Webshell Finder 소개 • How to Install Webshell Finder • 최신버전 다운로드 • http://pds13.egloos.com/pds/200906/20/79/WSF.exe • 한 번의 클릭으로 설치 및 실행 가능(Standalone Version)
메뉴 설명 ① : WSF의 검색 / 삭제 기능과 옵션 및 DB 설정 부분입니다. ② : WSF에서 찾은 내용을 모니터링 할 수 있습니다.
메뉴 설명 웹셀을 검색합니다. 웹셀을 검색할 때 압축파일 (Zip) 내부의 검사여부를 결정합니다. 특정 날짜를 기준점으로 찾을 수 있습니다.
메뉴 설명 현재 WSF의 데이터베이스를 최신의 데이터베이스로 업데이트 합니다. WSF는 데이터베이스 내의 패턴값을 비교해서 검색하기 때문에 항상 최신의 데이터베이스를 가질 수 있도록 업데이트 해주는 것이 좋습니다.
메뉴 설명 현재 DB의 내용을 사용자가 직접 수정할 수 있습니다. 최신의 DB에 등록되지 않은 패턴이라도 직접 추가하여 검출할 수 있습니다.
메뉴 설명 WSF는 서버 내의 웹셀을 검색 후 삭제하는 기능을 가지고 있습니다. 웹셀 검색 후 선택한 파일들을 삭제해 주는 기능입니다. 한번 삭제된 파일은 복구되지 않으므로 사용자의 주의를 요합니다.
메뉴 설명 WSF의 로그를 확인합니다. 로그는 WSF가 작동할 때의 상황이 기록됩니다. 로그 내용 예 Pattern File Open Error! : 데이터베이스 파일을 읽을 수 없을 때 Delete File : 웹셀 검색 후 선택파일을 삭제했을 때
메뉴 설명 검색 폴더 : 웹셀 검색을 실행할 때 대상이 되는 폴더 검색 파일 : 웹셀 검색을 실행했을 때 검색된 파일 파일 목록 : WSF가 찾은 웹셀의 목록이 표시됩니다. 모두 선택 : 파일 목록에 출력된 파일들을 모두 선택합니다.
튜토리얼 – 일반 검색 을 클릭하면 검색 대상폴더를 설정해 주어야 합니다. 서버의 홈 디렉토리나 검색하고 싶은 특정 폴더를 지정해 줍니다.
튜토리얼 – 일반 검색 검색 폴더를 지정하면 검색을 시작합니다.
튜토리얼 – 일반 검색 모두 선택을 클릭하고 를 클릭하면 삭제가 진행됩니다.
튜토리얼 – 압축 파일 검색 압축파일(Zip) 옵션을 이용해서 검사를 해보겠습니다.
튜토리얼 – 압축 파일 검색 각 압축 파일내에 존재하는 웹셀을 찾을 수 있습니다. 참조 필드를 통해 압축 파일을 확인 할 수 있습니다. 압축파일 내의 웹셀 삭제기능은 지원하지 않습니다.
튜토리얼 – 패턴 추가하기 을 이용하여 직접 패턴을 추가 / 수정할 수 있습니다. 임의의 php 파일 생성 후 이 파일의 내용에 “ollyTestWebShell”를 추가한 뒤 이 패턴으로 검색할 수 있습니다.
튜토리얼 – 패턴 추가하기 을 클릭 한 후에 패턴을 추가해 줍니다. * 주의 : 최상단 패턴숫자도 201에서 하나가 추가되었으므로 202로 수정
튜토리얼 – 패턴 추가하기 미리 작성해 둔 php파일을 찾은것을 확인 할 수 있습니다.
알려진 문제점 • 압축 파일 오류 • 용량이 500MB 이상인 ZIP 파일의 경우, 압축 라이브러리 자체의 문제로 실행 에러 발생시키므로 압축 해제 후 검색 추천 • 암호가 걸린 ZIP 파일의 경우 에러를 발생 시킴 • DotNet Framework • MS의 닷넷프레임웍 2.0 이상에서 작동하므로 실행 불가시 다음 업데이트 수행 • http://msdn.microsoft.com/ko-kr/netframework/default.aspx
WSF 일정 계획 ( 단위 : 주 )