실시간 웹쉘 탐지 솔루션 MetiEye V2.0
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
실시간 웹쉘 탐지 솔루션
MetiEye V2.0
Ⅰ.
Ⅱ.
Ⅲ.
Ⅳ.
웹쉘 (Webshell)
웹쉘 탐지 솔루션의 필요성
실시간 웹쉘 탐지 솔루션 MetiEye
주요 기능
Ⅰ웹쉘 (Webshell)
3
1. 웹쉘(Webshell) 이란?
클라이언트(Client)의 명령을 서버(Server)에서 실행시켜주는 프로그램을 뜻하며, 웹 서버의 취약점을 이용하여 업로드 된 후
다양한 웹쉘 기능을 통해 해당 서버의 제어권을 장악하고 정보탈취, 위/변조, 악성 스크립트 삽입 등 각종 행위를 수행합니다.
HACKER
✓ 정상적인 서비스 방해
✓ 기업의 기밀정보 획득
✓ 유출 데이터를 이용한 피싱 범죄
✓ 인접한 타 시스템 공격
게시판 취약점(파일 업로드)
웹 에디터 취약점(이미지 업로드)
HTTP 1.1 취약점(PUT)
기타 다양한 해킹 공격(SQl Injection, XSS 등)
✓ 다른 서버로 웹쉘 확산
✓ 기밀 정보 유출
✓ 2차, 3차 피해 발생
IT Infra
웹쉘(Webshell) 업로드
Web Server
✓ 웹 서버 자료 유출
✓ 홈페이지 위/변조
✓ 악성 스크립트 삽입
ㆍㆍ
ㆍ
4
2. 웹쉘(Webshell)의 종류
웹쉘(Webshell)은 ASP, JSP, PHP 등 텍스트 형태로 작성되어 사용되는 경우와 기존의 소스코드에 웹쉘이 삽입되는 경우가
있습니다. 대표적으로 이미 알려진 웹쉘(Top 100 Shells)을 비롯하여 신〮변종 웹쉘이 지속적으로 유포되고 있습니다.
C99Shell v. 1.0 beta (5.02.2005), Cyber Shell, GFS Web-Shell, NFM 1.8, r57shell, Small Web Shell by ZaCo, nsTView v2.1, DxShell v1.0, C99madShell v. 2.0 madnet edition, CTT Shell,
GRP WebShell 2.0 release build, 2018 (C)2006, Great, Crystal shell, Loaderz WEB Shell, NIX REMOTE WEB SHELL, Antichat Shell, CasuS 1.5, Sincap 1.0, C99Shell v. 1.0 pre-release
build(safe-mode), hiddens shell v1, Web-shell (c)ShAnKaR, Predator, KA_uShell 0.1.6, NGH, C2007Shell v. 1.0 pre-release build #16 Modded by Adora & u9 h4c93r, Antichat Shell.
Modified by Go0o$E, c0derz shell [csh] v. 0.1.1 release, iMHaBiRLiGi Php FTP, PHVayv, phpRemoteView, STNC WebShell v0.8, MyShell, ZyklonShell, AK-74 Security Team Web Shell
Beta Version, Gamma Web Shell, go-shell, PhpSpy Ver 2006, CmdAsp.asp.txt, CyberSpy5.Asp.txt, klasvayv.asp.txt, indexer.asp.txt, NTDaddy, v1.9, reader.asp.txt, RemExp.asp.txt,
zehir4.asp.txt, Elmaliseker.txt, EFSO_2.txt, accept_language, Ajax,Command Shell, Antichat Shell v1.3, Ayyildiz Tim -AYT- Shell v 2.1 Biz, aZRaiLPhp v1.0, backupsql, c99, c99_locus7s,
c99_madnet, c99_PSych0, c99_w4cking, Crystal, ctt_sh, cybershell, dC3 Security Crew Shell PRiV Dive Shell 1.0 - Emperor Hacking Team, DTool Pro, Dx, GFS web-shell ver 3.1.7 -
PRiV8, gfs_sh, h4ntu shell, iMHaPFtp, ironshell, JspWebshell 1.2, KAdot Universal Shell v0.1.6, lamashell, Liz0ziM Private Safe Mode , Command Execuriton Bypass Exploit, load_shell,
matamu, Moroccan Spamers Ma-EditioN By GhOsT, myshell , Mysql interface v1.0, MySQL Web Interface Version 0.8, mysql, mysql_tool, NCC-Shell, NetworkFileManager, PHP, NIX
REMOTE WEB-SHELL v.0.5 alpha Lite Public Version, nshell, nstview, PH Vayv, PHANTASMA, PHP Shell, php-backdoor, php-include-w-shell, pHpINJ, PHPJackal, PHPRemoteView,
Private-i3lue, pws PHP, r57, r57_iFX, r57_kartal, r57_Mohajer22, rootshell, ru24_post_sh, s72 Shell v1.1 Coding, Safe0ver Shell –Safe, Mod Bypass By Evilc0der, Safe_Mode Bypass PHP
4.4.2 and PHP 5.1.2, SimAttacker - Vrsion 1.0.0 - priv8 4, My friend, simple_cmd, simple-backdoor, SimShell 1.0 - Simorgh Security MGZ, SnIpEr_SA Shell, Uploader, WinX Shell, Worse
Linux Shell, zacosmall, Antichat Shell v1.3, Ayyildiz Tim -AYT- Shell v 2.1 Biz, aZRaiLPhp, v1.0, CrystalShell v.1, Cyber Shell (v 1.0), dC3 Security Crew Shell PRiV, Dive Shell 1.0 -
Emperor Hacking, Team, DxShell.1.0, ELMALISEKER Backd00r, GFS web-shell ver 3.1.7 - PRiV8, h4ntu shell [powered by tsoi], JspWebshell 1.2, KAdot Universal Shell v0.1.6, Liz0ziM
Private Safe Mode Command Execuriton Bypass Exploit, Macker's Private PHPShell, Mysql interface v1.0, MySQL Web Interface Version 0.8, NIX REMOTE WEB-SHELL , v.0.5 alpha Lite
Public Version, Perl Web Shell by RST-GHC PL, Private-i3lue, RedhatC99 [login=redhat-pass=root], Rootshell.v.1.0, s72 Shell v1.1 Coding, Safe0ver Shell -Safe Mod Bypass By Evilc0der,
Safe_Mode Bypass PHP 4.4.2 and PHP 5.1.2, SimAttacker - Vrsion 1.0.0 - priv8 4 My friend, SimShell 1.0 - Simorgh Security MGZs, WinX Shell, Worse Linux Shell
ASP PHP JSP CGI
5
3. 웹쉘(Webshell)의 특징
웹쉘은 기존의 보안시스템을 우회하기 용이하도록 인코딩, 난독화 등의 기술을 적용하기 때문에 탐지하기 어렵습니다.
또한 일반적인 서버 관리자들은 웹쉘을 통한 해킹의 피해여부 조차 파악하기 힘듭니다.
짧은 코드
HTTP 서비스
파일생성
문자열 분리
인코딩
1
5
4
3
2
웹쉘 탐지 우회기법
Firewall
IDS/IPSWeb
Firewall
Anti-Virus
완벽한방어 불가
악의적으로 제작된 웹쉘(Webshell)을 활용한 웹 서버 해킹이 지속적으로 기술 발전
✓ eval , excute 와 같이 정상적인 스크립트 파일 삽입
✓ Web(80/tcp) 포트를 이용하여 제어
✓ CreateTextFile , Write 와 같이 정상적인 스크립트 메소드를 이용
✓ Signature로 이용되는 문자열을 분산 삽입
✓ 웹 소스를 보호하기 위한 Script Encoder를 활용
6
4. 웹쉘(Webshell)의 위험성
웹쉘은 공격대상 서버에 업로드 된 후 웹 브라우저를 통해 시스템 명령어를 수행하게 되므로 다양한 공격이 가능하며,
기존의 보안시스템(방화벽 등)으로는 탐지하기 매우 어렵습니다.
T쇼핑몰 외 225개 사이트 1,700만건 웹쉘을 통한 악성코드 삽입으로 홈페이지 해킹
OO 군인회 1만 3,900건 홈페이지 해킹 (SQL Injection)
B 치킨 51만건 홈페이지 해킹
C 교육 350만건 웹서버 해킹 추정
회계법인 외 대기업 927건 웹서버 해킹 추정 (랜섬웨어)
온라인 커뮤니티 ‘B’ 195만건 홈페이지 해킹 (SQL Injection)
D 사 3만건 홈페이지 해킹
국내 기업 10개 웹사이트 10개 디페이스 공격 (화면 변조)
웹서버 해킹의 시작은 ‘웹쉘’로부터..
• 웹쉘(WebShell)은 가장 기초적인 웹서버 해킹도구로 인터넷 검색을 통해
쉽게 얻을 수 있고 공격 성공 시 개인정보 유출, 웹사이트 변조, 악성코드
유포 등 심각한 피해를 유발합니다.
90%
해킹 당한 웹서버의 91% 이상 웹쉘 발견
• KISA 인터넷 침해대응센터에 의하면 해킹 당한 웹서버 중 웹쉘이 발견된 웹
서버는 91%이상
• 3.20 사이버테러와 6.25 사이버테러 모두 해킹에 의한 침해사고 였으며
이들 모두 웹쉘 공격으로 시작 - 보안뉴스
32%
개인정보 유출사고의 32%는 웹쉘 업로드
• ’15년, ’16년 39건의 개인정보 유출사고(유출신고 기반) 중 25건이 해킹으로
발생하였으며 이 중 웹쉘 업로드(8건)가 32% 차지
- 2017 G-PRIVACY ‘2017년 개인정보보호법 기술적∙관리적 보호조치 방안’
해킹 당한 웹 서버의 91%에서 웹쉘의 흔적 (KISA)
7
5. 웹쉘(Webshell)의 피해사례
웹쉘의 피해사례는 대기업, 공공기관 뿐만 아니라 중소기업, 스타트업 등도 웹쉘 공격에 노출되어 피해량이 급증하고 있는
추세입니다.
“ 웹쉘(Webshell)로 인한 해킹 피해 ”
Ⅱ웹쉘 탐지 솔루션의 필요성
9
1. 컴플라이언스의 준수
웹 보안과 관련된 법규 및 컴플라이언스는 증가되는 추세이며, 관련 항목은 점점 강화되어 웹 보안 솔루션 구축의 필요성이
요구되고 있습니다.
금융감독위원회 교육과학기술부 개인정보보호법
✓ 제17조 (홈페이지 등 공개용 웹 서버 관리 대책)
✓ ① 금융회사 또는 전자금융업자는 공개용 웹서버의
안전한 관리를 위하여 다음 각 호를 포함한 적절한
대책을 수립·운용하여야 한다.
✓ ④ 금융기관 또는 전자금융업자는 공개용 웹서버가
해킹 공격에 노출되지 않도록 다음 각 호에 대하여
적절하게 대응 조치하여야 한다.
전자금융감독규정
✓ 제31조(서버 보안관리) ① 서버 관리자는 서버를
도입ㆍ운용할 경우, 정보보안담당관과 협의하여
해킹에 의한 자료 절취, 위ㆍ변조 등에 대비한
보안대책을 수립ㆍ시행하여야 한다.
✓ 제31조(서버 보안관리) ⑧ 정보보안담당관은
제1항 내지 제7항에서 수립한 보안대책의
적절성을 수시 확인하되, 연1회 이상 보안도구를
이용하여 서버 설정 정보 및 저장자료의 절취,
위ㆍ변조 가능성 등 보안취약점을 점검하여야 한다.
정보보안기본지침
✓ 제29조(안전조치의무) 개인정보처리자는 개인정보가
분실·도난·유출·변조 또는 훼손되지 아니하도록
내부 관리계획 수립, 접속기록 보관 등 대통령령으로
정하는 바에 따라 안전성 확보에 필요한
기술적·관리적 및 물리적 조치를 하여야 한다.
✓ 제34조의2(과징금의 부과 등) ① 안전행정부장관은
개인정보처리자가 처리하는 주민등록번호가 분실·
도난·유출·변조 또는 훼손된 경우에는 5억원 이하의
과징금을 부과·징수할 수 있다. 다만, 주민등록번호
가 분실·도난·유출·변조 또는 훼손되지 아니하도록
개인정보처리자가 제24조제3항에 따른 안전성 확보
에 필요한 조치를 다한 경우에는 그러하지 아니하다.
공개용 웹서버가
해킹공격에 노출되지 않도록
대응 조치해야 함 연1회 이상 보안취약점을 점검
법적 요구사항이 지속적으로 증가될 전망! 체계 구축 필요성 UP↑
개인정보의 안전한 관리
10
Yes, but...
2. 기존 웹쉘(Webshell) 대응 방식의 한계
현재 공개된 웹쉘의 탐지 및 점검 수단으로는 시큐어 코딩, 취약점 패치, 실행권한 설정 등 다양한 방식의 선제적 대응 조치가
필요합니다.
< THE CRITICAL POINT >
시큐어 코딩(Secure Coding)의 적용1
해킹(Hacking)기법의 기술적 발전2
웹 방화벽(WAF) 솔루션의 한계3
개발, 구축 유지보수와 같은 전 과정에 대한 리소스 부족
다양한 탐지 우회기법으로 즉각적인 해킹의 방어가 어려움
웹으로 전달되는 모든 패킷(Packet)의 내용 확인 불가능
웹쉘에 대한 실시간 모니터링 필요4웹쉘에 대한 실시간 탐지, 조치 등의 관제 모니터링 필요
text
소프트웨어 개발 보안
시큐어 코딩 적용
(Secure Coding)
선제적대응ㆍ조치
SQL Injection,
XSS 등
웹 취약점 제거
키워드/명령어
필터링 &
업로드 파일의
실행권한 제한 등
11
3. 기존 방식의 한계 : ① 시큐어 코딩(Secure Coding)
시큐어 코딩(Secure Coding)을 통해 웹 어플리케이션 보안 취약점을 제거할 수 있습니다.
그러나 비용이 높고, 개발/구축/유지보수 전 과정에 대한 인력 리소스 부족으로 많은 기업들이 어려움에 부딪히고 있습니다.
시큐어 코딩의 현실적인 한계
Secure 코딩 교육
개발, 구축, 유지보수
(구)어플리케이션 관리
비용, 개발기간
전체 개발자 교육 불가
개발, 구축, 유지보수에 대한 전 과정 진행 불가
모든 어플리케이션을 다 포함하여 적용 불가
비용의 기하급수적 증가 및 개발기간동안의 불안정성
SecureCording
< As-Is > < To-Be >
WebApplication
12
Web Server
3. 기존 방식의 한계 : ② 신ㆍ변종 웹쉘의 탐지
현재의 시그니처 기반의 솔루션(Firewall, IPS, WAF)으로는 신종 웹쉘, 보안장비 우회기법 등 신규 해킹의 방어가
현실적으로 어려움이 있으며, 다양한 우회 기법은 나날이 발전하고 있습니다.
신종 웹쉘 + 우회 기법 = 방어 불가
HACKER Firewall IDS/IPS WAF
✓ IP, Port 방어
✓ 방화벽에서 허용된
Port를 통해 공격
✓ Packet 문자열 비교
✓ 암호화 및 난독화된
웹쉘 탐지 어려움
✓ http 문자열 비교
✓ 웹쉘 기능이나 특성별
정책 설정 어려움
1) 시그니처(Signature) 기반의 진단 방식은 샘플을 수집하고 진단하는 방식으로, 기 발견된 웹쉘에 대한 탐지는 즉각적으로 가능하나 신/변종 웹쉘에 대한 탐지는 불가능 함
1)
13
웹 방화벽으로 충분?
3.웹 서버로 송, 수신되는 모든 패킷(Packet)의 내용을 검사하고 차단하는 웹 방화벽(WAF)은 OWASP , 국정원 취약점 등
다양한 웹 공격을 시그니처 기반으로 탐지, 차단하기 때문에 신〮변종 웹쉘에 대한 완벽한 대응이 불가능합니다.
기존 방식의 한계 : ③ 웹 방화벽(WAF) 솔루션
1) OWASP(오픈소스 웹 애플리케이션 보안 프로젝트)는 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며 10대 웹 애플리케이션의 취약점을 발표
2) 국정원 8대 취약점은 국가사이버안전센터에서 국내 각 기관에서 홈페이지 해킹에 많이 악용되었던 취약점 8종을 선정하여 발표
1)
A1. 인젝션
A2. 취약한 인증
A3. 민감한 데이터 노출
A4. XML외부 개체 (XEE)
A5. 취약한 접근 통제(취약한 접근 통제)
A6. 잘못된 보안 구성
A7. 크로스 사이트 스크립팅(XSS)
A8. 안전하지 않은 역직렬화
A9. 알려진 취약점이 있는 구성요소 사용
A10. 불충분한 로깅 및 모니터링
2)
1. 디렉토리 리스팅 취약점
2. 파일 다운로드 취약점
3. 크로스사이트 스크립트 취약점
4. 파일 업로드 취약점
5. WebDAV 취약점 – 원격 실행
6. 테크노트(technote) 취약점
7. 제로보드(Zeroboard) 취약점
8. SQL 인젝션
웹 방화벽의도입 목적 및 기능
시그니처 기반의 탐지 방식으로,
신〮변종 웹쉘 탐지에 취약
14
정확하고 빠른 탐지
공격 발생 시, 실시간 탐지 및 보고 여부
3.웹쉘로 인한 해킹 피해를 최소화하기 위해서는 24시간 실시간 모니터링이 필요하며, 정확하고 빠른 탐지와 신〮변종 웹쉘에
대한 명확한 분석을 필요로 합니다.
모니터링 3가지 핵심사항
명확한 분석
침해사고에 대해 정황 파악 및 피해 분석 여부
선제적인 대응
다양한 해킹 시도에 대해 자동차단 가능 여부
실시간 모니터링을 통한 정확하고 빠른 탐지와 명확한 분석 필요
✓ 인력을 통한 24시간 모니터링은 현실적으로 불가능
✓ 탐지와 대응 조치가 늦을 시에 피해규모 산정 불가
피해규모
시간
골든타임
이상징후조기 발견
정보 탈취 및침투행위 진행
장악된 자산침해 행위
기존 방식의 한계 : ④ 실시간 모니터링의 필요성
15
4. 웹쉘 탐지 솔루션의 필요성
다양한 웹쉘 및 웹 서버 공격에 대한 대응과 모니터링 관련 이슈를 해소하며, 운영 중인 시스템의 안정성과 보안성이 보장되기
위해서는 실시간 웹쉘 탐지 솔루션이 필요합니다.
웹 서버실시간 탐지
시스템안정성 보장
신, 변종패턴에대한탐지
솔루션보안성확보
< THE CRITICAL POINT >
시큐어 코딩(Secure Coding)의 적용1
해킹(Hacking)기법의 기술적 발전2
웹 방화벽(WAF) 솔루션의 한계3
개발, 구축 유지보수와 같은 전 과정에 대한 리소스 부족
다양한 탐지 우회기법으로 즉각적인 해킹의 방어가 어려움
웹으로 전달되는 모든 패킷(Packet)의 내용 확인 불가능
웹쉘에 대한 실시간 모니터링 필요4웹쉘에 대한 실시간 탐지, 조치 등의 관제 모니터링 필요
실시간 웹쉘 탐지 솔루션
Ⅲ실시간 웹쉘 탐지 솔루션
MetiEye
17
1. MetiEye 개요
웹쉘 탐지 솔루션(MetiEye)은 보안장비에서 탐지하지 못하는 신〮변종 웹쉘을 정규식과 휴리스틱 탐지 기술을 사용하여,
실시간으로 탐지 웹쉘에 대한 차단, 격리 조치 등 선제적 대응이 가능한 보안 솔루션입니다.
탐지
조치
보고
관리
1 웹쉘(웹 백도어)
2 악성코드 배포
3 홈페이지 소스 위, 변조
4 테스트 및 백업파일 생성HACKER 보안담당자
조치관리/정책설정
✓ 실시간 웹쉘/파일변경 탐지
✓ 수동(스케줄링) 검사
✓ 탐지 웹쉘의 자동/수동 격리
✓ 예외 처리 등의 조치 관리
✓ 자산별, 그룹별 통계
✓ 일간, 월간 보고서 제공
✓ 자산/그룹 관리
✓ 탐지 정책 설정
통계
18
2. MetiEye 구성도
웹쉘 탐지 솔루션(MetiEye) 도입 시 네트워크 구성 환경을 분석하여 솔루션의 안정적인 성능과 보안성, Agent가 설치되는
감시대상 서버의 영향력 등을 고려하여 최적화 된 시스템을 구성합니다.
Server
Firewall
인터넷망
IDS/IPS WAF
✓ 해당 운영 웹 서버에 대한 Admin 권한 배정
✓ 운영 중인 웹 서버의 관리
시스템별 담당자
✓ 모든 웹 서버의 Admin 권한
✓ 실시간 모니터링을 통해 취약한 웹 서버 관리
✓ 설치된 웹 서버의 보안 설정 취약점 관리
보안 담당자
SSL
SSL
SSL
Server Server Server ServerServer Server ServerServer
✓24시간 실시간 웹쉘 및 위변조 모니터링 ✓Agent 설치 불가능 하거나, 실시간 감시 대상이 아닌 서버 진단
19
3. MetiEye 특장점
MetiEye는 보안컨설팅 전문 업체인 제조사의 실무 경험을 바탕으로 한 차원 높은 패턴 수집 역량과 빠른 속도의 알고리즘,
웹쉘 탐지에 최적화된 아키텍처로 개발된 솔루션입니다.
✓ FMM : File Management Module
✓ WSM : Web Shell Module
✓ S.R.O.A : SSR 독자개발 정규식 최적화 기술
(SSR Regular Expression Optimization Algorithm)
✓ 4 Free Agent : Install Free, ACL Free, Resource Free, OS Free
Web Shell
전문적으로 수집/관리되는 최신 동향
✓ 다수의 전문 보안 컨설턴트가 현장에서 수집하는 웹쉘 패턴
✓ 수집된 패턴을 최적화 및 관리하는 다수의 연구인력 보유
✓ 국내 최대, 최고 수준의 보안 메타 엔진 보유
빠른 속도의 탐지 알고리즘
✓ SSR이 독자 개발한 정규식 최적화 알고리즘 S.R.O.A
✓ SSR Regular Expression Optimization Algorithm
✓ 빠른 속도의 개발 언어(C++, Perl)로 다른 언어 대비 속도향상
새로운 패턴을 인지하는 지능형 탐지
✓ 웹쉘이 가진 기능 및 특성 유사도를 분석하여 웹쉘을 탐지
✓ 별도의 휴리스틱 엔진 탑재로 정규식 탐지와 별개로 독립된 구성
✓ 특허 출원번호 10-2013-0066812
20
1. 최고의 전문성
2. 최대 규모의 전문 인력
3. 체계적인 프로세스
3. MetiEye 특장점 : ① 제조사의 기술력
실시간 웹쉘 탐지 솔루션
✓ 과학기술정보통신부 지정 정보보호 전문 서비스 기업
✓ 보안 컨설팅(기술/관리) 전문 컨설턴트 및 웹쉘 기술본부 인원 보유
✓ 국내 최대 규모의 전문 인력
✓ 모의해킹(화이트해커) 컨설턴트 : 현장 수집
✓ 기술연구소 : 최신 동향, 프레임워크 업데이트
✓ 제조사 조직 내 모니터링 Framework 전담 부서 및 기술 인력 구성
✓ 웹쉘 패턴의 상시 업데이트로 최신 위협의 대응체계 지원
+
기술/관리컨설턴트
개발, 연구및 기술지원
51명 42명 = 93명
보안 컨설팅을 통해 수집되는 동향과 기술 연구소를 통해 최신 트렌드의 신, 변종 패턴을 빠르게 수집 및 반영하며,
모의 해킹(화이트해커)의 강도 높은 테스트를 통해 지속적으로 솔루션을 업그레이드하고 있습니다.
전문인력
21
3. MetiEye 특장점 : ② 웹쉘 탐지 기법
MetiEye는 이미 알려진 웹쉘은 해시 값을 DB화하였고, 정형화된 정규식 패턴 외 웹쉘 특성을 파악하는 휴리스틱(Heuristic)
탐지 기법으로 다양한 유형의 웹쉘 탐지가 가능합니다.
정규식 패턴 (알려진 웹쉘의 패턴 및 hash 값 매칭) 비정규식 패턴 (휴리스틱 탐지)
검역소
WEB/WAS Server
…
6969 1c7b dcc3 ce6d6hdb 34js 482k sg7n
Jn2m khx6 shf4 ksn6Kaa1 3826 gsv3 4j2n
8hfs 236g jdgh xbb127gg adfs lkkm 9867
8766 jdhb kshw 87ss099b 67d3 saw2 fcx4
WebShell Hash DB
lkkm 9867 Jn2m khx6 3826 gsv3 6969 1c7b
• 기존에 알려진 웹쉘의 고유 패턴과 해시(hash) 값을 DB화하여 오탐 없이
100% 차단하는 매칭 탐지 방식
• 휴리스틱 엔진을 탑재하여 정규식 패턴 탐지와는 별개의 독립된 검사를 수행
• 휴리스틱 탐지의 오탐을 줄이기 위한 탐지수준 설정(Normal / Aggressive)
가능
✓ 일반적인 웹쉘이 가지고 있는 기능
및 특성과 유사성의 여부 및 비중을
분석하여 알려지지 않은 신, 변종
웹쉘을 탐지하는 기법
휴리스틱(Heuristic) 탐지
22
3. MetiEye 특장점 : ③ 뛰어난 탐지 속도
MetiEye는 솔루션의 동작 속도가 빠른 프로그램 언어로 개발되었으며, 독자 개발한 정규식 최적화 알고리즘으로 실시간
웹쉘 탐지에서 최고 18배 빠른 검사 성능을 제공합니다.
속도가 빠른 개발 언어 정규식 최적화 기술(S.R.O.A) 적용
✓현대적 코딩에 가장 빠른 언어(Perl/C++)로 개발 ✓Regular Expression Benchmark Test
• 제조사 독자 개발 정규식 최적화 기술 S.R.O.A(SSR Regular Expression
Optimization Algorithm) 적용
• 웹쉘 탐지속도 1,777% 향상(General Method 대비)
Java,Lua..
C++
Perl
String Size
Tim
e
23
3. MetiEye 특장점 : ④ 데이터의 보안성
MetiEye(관리서버)와 사용자, 관리서버와 Agent 간의 통신 암호화 및 데이터 암호화를 통해 기밀성과 무결성을 보장합니다.
SSL/TLS(TLSv1 DHE-RSA-AES256-SHA)
DATA
1차 암호화
2차 암호화
수집기
SSL 암호화 통신, HMAC(Hash-based Message Authentication Code) 기반의 데이터 검사로 무결성 및 일관성의 유지
• Manager 검증
- 호스트 검증
- Manager 인증서 서명 검증
• Agent 인증
- Client 인증서 요구
- 인증서 정보 ACL
- Agent 인증서 서명 검증
1차 암호화(SSL 통신)
• 128/256bit CBC 블록 암호화
• SHA256 HMAC 무결성 검증
2차 암호화 (DATA)
24
도입 기대효과
1.
2.
3.
4.
MetiEye 구축을 통해 웹쉘 공격에 효과적으로 대응하여 웹 서버의 상태를 실시간으로 모니터링하고, 위변조 방지를 통해
보다 안정적이고 신뢰성 있는 서비스를 제공 할 수 있습니다.
4.
실시간 웹쉘 공격 및 위,변조 방지를 통해
웹서버 방어 체계 구축!!
✓ 실시간 웹쉘 탐지 및 위, 변조 방지 체계 구축
- 상위 1% 모의해커 출신들에 의해 최고의 웹쉘 탐지 역량 및
웹 소스 내 포함된 악성코드 삽입 URL 탐지
✓ 정확성 높고 빠른 속도의 웹쉘 탐지
- 제조사가 직접 개발한 독창적인 알고리즘 및 휴리스틱
탐지를 통해 빠른 속도와 정확성 높은 웹쉘 탐지
✓ 최적화된 아키텍처로 시스템의 안정성 확보
- 실시간 웹쉘 탐지에 최적화된 솔루션 아키텍처로 리소스
최소화 및 2중 암호화 설계 등 안정성 및 보안성 확보
✓ 수준 높은 기술력의 유지보수 지원
- 장애 발생 시, 재빠른 대처 및 제조사의 시스템 엔지니어를
통한 체계적인 유지보수 지원
25
구축 레퍼런스
MetiEye는 IT 비즈니스를 수행하는 공공기관 및 기업, 금융권 등 다양한 환경에 구축되었고, 단일 사업 최대 규모의 설치 운영
레퍼런스를 보유하고 있습니다.
경남정보대학교, 정철어학원, 신라대학교, 중앙대학교병원, 울산과학대학교, 부산카톨릭대학교, 교육지대, 재능교육, 영산대학교, 울산대학교병원,
경남과학기술대학, 울산대학교, 울산과학기술원기타
공공기관육군본부, 한국소비자원, 국립대구과학관, 한전KPS, 소방안전협회, 한국기계거래소, 부산항만공사, 한국지식재산전략원, 국민체육진흥공단,
부산광역시청, 대구광역시 소방본부, 한국여성정책연구원, 한국교육개발원, 중소기업중앙회, 식품의약품안전처, 경기도청, 구리시청,
국제협력단(KOICA), 송파구청, 농업기술실용화재단, 강원교육과학정보원
금융권KB투자증권, SK증권, 한화손해보험, 스마트로, 예금보험공사, KB생명보험, 에이앤디신용정보, KB손해보험, 새마을금고중앙회, KB손해사정,
한국신용정보원,신한생명, 하나금융지주
기업
현대중공업, 코웨이, LG U+, 야놀자, 아시아나항공, 아프리카TV, L&K Logic Korea, 모두투어, 여행박사, 옐로우캡, 리서치애드, 카페베네,
토니모리, 엔플린트, LG생활건강, 이너스커뮤니티, 코리아타임즈, 데일리팜, 화승, 헤럴드, 한국아이닷컴, 대하인터내셔널, 에셋플러스,
시큐어아이디씨, 대림산업, 한솔그룹, 무브게임즈, 패널인사이트, 시슬리코리아, 누리미디어, 한국섬유신문사, 한국프로골프투어, 고려아연,
천손문화원, 에스박스, 브랜드스토리, 에넥스, 디자인메이, 베어크리크, 인터플렉스, 보령제약, 동일고무벨트, 페이레터, 한국다이찌산쿄,
공영홈쇼핑, 이지월페어, 원스토어, 케오, 유비케어, 안랩, 두산, 에스원, 가비아, 두산정보통신, 파이오링크, 나이스디엔비, 삼화페인트,
KT스카이라이프, 비티씨코리아닷컴(빗썸), 레드캡투어, 보배드림
5.
Ⅳ주요 기능
27
1. UI 구성 - 관리화면
✓ 자산 그룹 확인
✓ 선택된 그룹의
해당하는 자산 목록
✓ 다양한 관리기능 제공
✓ 선택된 그룹 및 자산의
주요시스템 필터 값
확인
✓ 선택된 그룹 및 자산의
점검 상황, 보안성 판정,
탐지 현황 등의 정보
확인
Web UI를 통해 전체 시스템에 대한 보안성 판정 및 탐지 현황 등의 상세 정보를 제공합니다.
28
1. UI 구성 - 대시보드 화면
✓ 현재 시점의 자산 상태✓ 총 탐지 개수 및 정책별
탐지 개수 알림
✓ 주요 이벤트 알림 내역
✓ 각 메뉴에 해당하는
상세정보
✓ 커스터마이징 가능
탐지 현황 및 자산별 현황에 대해 자세한 화면을 제공하는 관리화면과 대형 상황판에 표출 시 가시성을 고려한 대시보드 화면을
제공하며, 전환 기능을 통해 다양한 모니터링 환경을 제공합니다.
✓ 메뉴
✓ 현재 점검 상황 정보
29
2. 자산 관리 기능
✓ 자산 탭에서 그룹관리
및 새 그룹 추가 가능
✓ 자산 그룹 관리
메뉴에서 그룹명 변경,
자산 표시/숨김 등의
관리 기능 제공
✓ 엑셀 양식을 통해 신규
자산 등록 가능
✓ 신규 그룹 생성 기능
자산을 그룹관리와 신규 자산의 등록 및 그룹관리, 새 그룹 추가 기능을 이용하여 다양한 그룹 설정, 그룹별 접근 권환 관리 기능
을 제공합니다.
30
3. 탐지 정책 - 웹쉘
다양한 웹쉘을 대상으로 전체 탐지, 해시(Hash)값 매칭 등의 조건 설정을 통해 탐지 및 자동 차단 기능을 제공하며, 탐지제외
확장자(Video, Audio, Image 등) 설정 및 최대 탐지크기(절대값) 설정을 지원합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
31
3. 탐지 정책 - 악성URL
관리서버에 등록된 1,300여 개의 악성 URL을 기반으로 웹쉘 확장자 이외에 탐지하고자 하는 확장자를 추가하여 소스파일에
포함된 악성 URL을 탐지 및 차단합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
32
3. 탐지 정책 - 파일변경
파일변경 대상의 정규표현식 일치와 불일치로 탐지 대상을 설정하여 의도치 않은 파일의 변경(수정/삭제/생성)을 탐지하며,
수정된 파일에 대해 복원이 가능합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
33
3. 탐지 정책 - 백업파일
백업파일의 확장자(bak 등)를 탐지 정책에 등록하여 동일한 확장자 파일 생성 시 탐지합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
34
3. 탐지 정책 - 업로드 차단
파일의 확장자를 Blacklist, Whitelist로 구분 후 해당 확장자 형식의 파일 업로드 시 허용 또는 차단합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
35
3. 탐지 정책 - 변경방지
변경방지 탐지 정책에 등록된 확장자 파일의 변경 탐지 시 변경된 파일을 복원합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
36
3. 탐지 정책 - 개인정보
정책 설정된 확장자 형식의 파일에서 텍스트 기반의 개인정보(이름, 생일, 주민번호, 주소 등)를 탐지합니다.
✓ 탐지 제외 설정
✓ 탐지 설정
37
4. 실시간 탐지(감시) 및 전수 검사
Agent가 설치된 자산의 실시간 탐지(감시) 여부 설정이 가능하며, 전수검사 시 다양한 스케쥴링(즉시, 예약, 가용 일정 적용)
지원합니다.
✓ 전수검사 화면
✓ 예약실행 기능을 통해
예약진단 및 반복진단
설정 가능
38
5. 결과보고
관리 화면을 통해 탐지내역에 대한 수량과 처리 내역을 확인 할 수 있으며, 다운로드 보고서에는 탐지된 웹쉘의 탐지 사유, 탐지
방식, 탐지된 웹쉘의 기능 등의 정보를 추가로 제공합니다.
✓ 일간보고서 탐지내역
및 처리내역 수 정보✓ 보고서 Excel 다운로드
39
6. 시스템 관리
✓ 접근제어, 관리자 E-
mail, 그룹미설정 대상
이동, 탐지내역 처리
자동승인 여부,
관리시스템 디스크
경고 표시 설정 가능
✓ DB 백업, Syslog,
분석서비스 연동 등
설정 가능
다양한 관리 시스템 설정을 통하여 원활한 시스템 구현 및 다수의 Syslog 설정 기능을 통하여 통합보안관리시스템 등의 내부
시스템 연동을 지원합니다.
40
7. 탐지된 웹쉘의 영향도 분석 서비스
탐지된 웹쉘에 대해 제조사(SSR)의 모의 해커가 수동으로 면밀히 분석을 수행, 웹쉘의 구성, 최종 탈취 정보의 유형 및 대상,
공격 수행 프로세스, 영향도 등을 리포팅 하는 서비스를 제공합니다.
✓ 압축된 웹쉘의 업로드
및 제조사 분석요청
Related Documents
![악성코드 유사 및 변종 유형 예측방법 연구index-of.co.uk/Reverse-Engineering/s [KISA].pdf · o 악성코드 탐지 및 예방 도구 제작에 적용할 수 있는](https://static.cupdf.com/doc/110x72/5e10744f495a8b013b0b7252/eoe-oe-e-e-oe-ee-eindex-ofcoukreverse-engineerings.jpg)
