본문 바로가기
IT 와 Social 이야기/Security

웹쉘 해킹 Web Shell Hacking의 빗장수비 SSiART ShellMonitor

by manga0713 2011. 11. 8.



부끄럽지만, 저도 '보안인'이라는 보안관련 일들을 하시는 분들의 커뮤니티에서 "무전취식"하며 정보와 지식을 날로 받아 먹고 살고 있는데요.

오늘은 '웹 쉘 WebShell' 방어 솔루션에 대한 질문이 나와서 저도 궁금하던 차에 찾아 봤는데, 마침 안철수연구소에서 관재 서비스(http://blog.ahnlab.com/ahnlab/tag/5044)와 (주)UMV기술이라는 곳에서 솔루션을 개발 판매를 하고 있었네요.

안철수연구소의 웹 쉘 관재 서비스는 (주)UMV기술의 솔루션과 안철수연구소의 기존 보안관재 서비스를 연동한 것이라고 하는군요. ^^

내친김에 웹 쉘과 (주)UMV기술의 솔루션의 소개를 드립니다.
저, 이 곳과 아무관계 없습니다. 아시지요? ^___^


웹 쉘 WebShell, 너무나 잘 알려져 있고, 그러나 잘 잡히지 않으며, 한 번 당하면 끔찍한 결과를 야기하는 해킹 툴 Hacking Tool이지요.

위 화면의 이미지는 러시아에서 만들어진 것으로 추정되는 "AK-74 Security Team Web-Shell"이라는 .PHP 버전 의 웹 쉘입니다.

이미지의 메뉴에서 확인하실 수 있는 것과 같이, 시스템 정보, 파일 편집 / 업로드 / 다운로드, php정보, 시스템 명령어 실행 등을 할 수 있습니다.

기술적으로 설명하지 않더라도 해커가 마음대로 프로그램이나 Data File 등을 편집할 수 있고 서버에 심을 수도 있고 내려 받을 수도 있다면 이거야 정말 큰일 아니겠습니까!!

최근 2, 3년 사이 발생한 대부분의 고객정보 유출 사고와 내부 직원이 중국 해커와 공모해 1,300만 건의 개인 정보를 빼돌린 사건도 바로 이 웹 쉘 WebShell을 이용한 것 입니다.

웹 쉘은 웹 스크립트 즉, asp, jsp, php, cgi 등으로 만듭니다. 서버가 알아서 수행하는 Text 형태의 명령서라서 방화벽도 그냥 통과하는 경우가 많고 주로 실행 파일로 만들어져 있는 바이러스와는 검출이나 탐지 방식에 많은 차이가 있지요.

그럼 이쯤에서 이 늠들이 어떻게 어떤 경로로 들어와 피해를 입히는지 (주)UMV기술에서 친절하게 설명해준 개념도를 보시겠습니다.

외부와 내부의 유형을 보실 수 있습니다.



그림에서 보시는 것과 같이 외부와 내부 모두 보안의 단계를 모두 무사히 지나 중요 데이터가 위치한 곳에 가까이 다가와 있게 되는 것이지요.

더군다나 위에서 말씀드린 것과 같이 웹 스크립트로 작성되어 있기 때문에 수 많은 변종이 발생할 수 있기 때문에 그 피해는 말로 형용하기 어려운 지경에까지 갈 수도 있습니다.

그러면 ShellMonitor Enterprise는 어떤 기능이 있는지 알아보겠습니다. 먼저 물리적 구성도를 보시지요.



우선 웹 인터페이스를 통한 Manager 프로그램이 눈에 띄고요.
ShellMonitor Server라는 이름의 서버 프로그램이 있네요. 대당 500개의 Agent를 관리 할 것을 권장하네요. 이것은 참 정직하고 시스템 운영 전반에 대해 제대로 아는 Recommand라는 생각을 갖게 하는군요.
마지막으로 보호대상 서버에 한 개씩의 Agent를 설치해야 하는군요.

이 Agent는 Java로 구현되어서, JRE가 깔리는 모든 곳에 다 설치가 가능하고 JVM위에서 돈다고 하네요. ^^

마지막으로 전체적인 기능을 소개하며 글을 마치겠습니다.

1.탐지 기능 : 수동 탐지 / 실시간 탐지
-최초 탐지시 전체 탐지를 수행하면서 파일에 대한 해쉬 파일을 생성 해 두고, 재 검색 시 변경 여부를 해쉬 파일 조회를 통해 먼저 확인
-탐지 프로세스가 CPU 자원을 과점해서 웹서비스를 방해할 가능성을 최소화 하기 위해 탐지 속도 설정을 통해 CPU 자원의 최대치 제한
2.탐지 내역 조회 기능
3.탐지 처리 기능
4.자원 모니터링 기능
5.탐지 패턴 편집 기능
6.Syslog 연동 기능
-ESM을 통하여 웹 쉘 탐지 정보를 관리하고자 하는 고객을 위한 기능. ^^