1 / 25

WebShell Finder

WebShell Finder. 인제대학교 정보보호동아리 돗 - 가비. Agenda. 소개 메뉴 설명 사용법 알려진 문제. Webshell Finder 소개. Webshell Web 기반에서 작동하는 쉘 프로그램 (PHP, ASP, JSP 등 ) Webshell Attack OWASP Top10 : 취약한 인증 및 세션 관리외 9 개 항목에 대한 공개 웹 취약점 목록 ( http://www.owasp.org )

shad-zamora
Télécharger la présentation

WebShell Finder

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. WebShellFinder 인제대학교 정보보호동아리 돗-가비

  2. Agenda 소개 메뉴 설명 사용법 알려진 문제

  3. Webshell Finder 소개 • Webshell • Web 기반에서 작동하는 쉘 프로그램(PHP, ASP, JSP등) • Webshell Attack • OWASP Top10 : 취약한 인증 및 세션 관리외 9개 항목에 대한 공개 웹 취약점 목록 (http://www.owasp.org) • SANS Top20 : 미 FBI 국가기반보호센터(NIPC)에서 제공하는 치명적인 20가지 취약점 목록 (http://www.sans.org/top20) • 웹 해킹 변조 및 피싱경유지등 신고건수 ‘2,698’건 • 2009년 02월 KISA 인터넷침해사고 동향 및 분석 월보 기준 • 해킹피해를 입은 서버 약 80건에서 90%이상 웹셀 발견 (2007년 조사)

  4. Webshell Finder 소개 중국어 간체 사용 유무 FileSystemObject을 공통적으로 사용 시스템 권한 접근 및 명령 실행 함수 및 객체 사용 유무 HTTP GET 메소드를 사용하는 웹셀의Parameter 검사 Webshell별 특정 문자열 존재(ASCII, BASE64,Eval(),HEX) 행위기반 Signature 탐지 • How to Detect Webshell Attack By WSF • 평문 웹셀 업로딩 이후 절대경로 접근방법에서 최근 다양한 방법(UNICODE, BASE64등)으로 인코딩되어 세션 및 ID/PW 인증을 이용한 접근제어로 진화

  5. Webshell Finder 소개 • 전체 Signature 적용 • Signature별 가중치 부여 • 탐지점수를 통한 격리/삭제 Webshell DB • How to Detect Webshell Attack By WSF • MAC(Modify,Access,Changed)Timeline 기준 검색 • 정상파일의 MAC Time 기준 검색 • 사용자 지정 MAC Time 검색 • 최신 Webshell DB 구축 • 보안전문인력의 최신 Webshell 수집/분석 • 공개 커뮤니티를 통한 Webshell 변종 수집/분석

  6. Webshell Finder 소개 • How to Install Webshell Finder • 최신버전 다운로드 • http://pds13.egloos.com/pds/200906/20/79/WSF.exe • 한 번의 클릭으로 설치 및 실행 가능(Standalone Version)

  7. 메뉴 설명 ① : WSF의 검색 / 삭제 기능과 옵션 및 DB 설정 부분입니다. ② : WSF에서 찾은 내용을 모니터링 할 수 있습니다.

  8. 메뉴 설명 웹셀을 검색합니다. 웹셀을 검색할 때 압축파일 (Zip) 내부의 검사여부를 결정합니다. 특정 날짜를 기준점으로 찾을 수 있습니다.

  9. 메뉴 설명 현재 WSF의 데이터베이스를 최신의 데이터베이스로 업데이트 합니다. WSF는 데이터베이스 내의 패턴값을 비교해서 검색하기 때문에 항상 최신의 데이터베이스를 가질 수 있도록 업데이트 해주는 것이 좋습니다.

  10. 메뉴 설명 현재 DB의 내용을 사용자가 직접 수정할 수 있습니다. 최신의 DB에 등록되지 않은 패턴이라도 직접 추가하여 검출할 수 있습니다.

  11. 메뉴 설명 WSF는 서버 내의 웹셀을 검색 후 삭제하는 기능을 가지고 있습니다. 웹셀 검색 후 선택한 파일들을 삭제해 주는 기능입니다. 한번 삭제된 파일은 복구되지 않으므로 사용자의 주의를 요합니다.

  12. 메뉴 설명 WSF의 로그를 확인합니다. 로그는 WSF가 작동할 때의 상황이 기록됩니다. 로그 내용 예 Pattern File Open Error! : 데이터베이스 파일을 읽을 수 없을 때 Delete File : 웹셀 검색 후 선택파일을 삭제했을 때

  13. 메뉴 설명 검색 폴더 : 웹셀 검색을 실행할 때 대상이 되는 폴더 검색 파일 : 웹셀 검색을 실행했을 때 검색된 파일 파일 목록 : WSF가 찾은 웹셀의 목록이 표시됩니다. 모두 선택 : 파일 목록에 출력된 파일들을 모두 선택합니다.

  14. 튜토리얼 – 일반 검색 을 클릭하면 검색 대상폴더를 설정해 주어야 합니다. 서버의 홈 디렉토리나 검색하고 싶은 특정 폴더를 지정해 줍니다.

  15. 튜토리얼 – 일반 검색 검색 폴더를 지정하면 검색을 시작합니다.

  16. 튜토리얼 – 일반 검색 모두 선택을 클릭하고 를 클릭하면 삭제가 진행됩니다.

  17. 튜토리얼 – 압축 파일 검색 압축파일(Zip) 옵션을 이용해서 검사를 해보겠습니다.

  18. 튜토리얼 – 압축 파일 검색 각 압축 파일내에 존재하는 웹셀을 찾을 수 있습니다. 참조 필드를 통해 압축 파일을 확인 할 수 있습니다. 압축파일 내의 웹셀 삭제기능은 지원하지 않습니다.

  19. 튜토리얼 – 패턴 추가하기 을 이용하여 직접 패턴을 추가 / 수정할 수 있습니다. 임의의 php 파일 생성 후 이 파일의 내용에 “ollyTestWebShell”를 추가한 뒤 이 패턴으로 검색할 수 있습니다.

  20. 튜토리얼 – 패턴 추가하기 을 클릭 한 후에 패턴을 추가해 줍니다. * 주의 : 최상단 패턴숫자도 201에서 하나가 추가되었으므로 202로 수정

  21. 튜토리얼 – 패턴 추가하기 미리 작성해 둔 php파일을 찾은것을 확인 할 수 있습니다.

  22. 알려진 문제점 • 압축 파일 오류 • 용량이 500MB 이상인 ZIP 파일의 경우, 압축 라이브러리 자체의 문제로 실행 에러 발생시키므로 압축 해제 후 검색 추천 • 암호가 걸린 ZIP 파일의 경우 에러를 발생 시킴 • DotNet Framework • MS의 닷넷프레임웍 2.0 이상에서 작동하므로 실행 불가시 다음 업데이트 수행 • http://msdn.microsoft.com/ko-kr/netframework/default.aspx

  23. WSF 일정 계획 ( 단위 : 주 )

  24. Q/A

  25. End of Document

More Related