포스팅 내용

국내외 보안동향

NSA, 웹 셸을 심는데 흔히 악용되는 취약점 목록 공개

NSA shares list of vulnerabilities commonly exploited to plant web shells



미 국가안보국(NSA)와 호주 통신보안국 (ASD)이 기업들에 웹 대면 서버 및 내부 서버에서 일반 웹 셸을 찾아볼 것을 경고하는 보안 권고를 발행했습니다.


웹 셸은 오늘날 가장 널리 사용되는 악성코드 유형 중 하나입니다. “웹 셸”이라는 용어는 해킹된 서버에 설치된 악성 프로그램이나 스크립트를 의미합니다.


웹 셸은 해커가 해킹된 서버 및 파일 시스템을 조작하는데 사용할 수 있는 비쥬얼 인터페이스를 제공합니다. 웹 셸 대부분에는 서버에서 해커가 사용 가능한 파일의 이름 변경, 복사, 이동, 편집기능 및 새로운 파일 업로드 기능 등이 포함되어 있습니다. 파일 및 디렉토리의 권한을 변경하거나 서버에서 데이터를 압축 및 다운로드(탈취)하는 것도 가능합니다.


해커들은 인터넷에 노출된 서버 또는 애플리케이션 (CMS, CMS 플러그인, CMS 테마, CRM, 인트라넷, 기타 기업 앱 등)에 존재하는 취약점을 악용하여 웹 셸을 설치합니다.


웹 셸은 Go부터 PHP까지 모든 언어로 작성될 수 있습니다. 이를 통해 해커가 일반적인 이름(index.asp 또는 uploader.php 등)을 사용하여 모든 웹사이트의 코드에 웹 셸을 숨기는 것이 가능해져 사람이 웹 방화벽이나 웹 악성코드 스캐너의 도움을 받지 않고 탐지해 내는 것이 거의 불가능합니다.


마이크로소프트는 2020년 2월 보고서를 발표해 77,000 건의 활성화된 웹 셸이 발견했으며, 웹 셸을 오늘날 가장 널리 사용되는 악성코드 타입 중 하나로 꼽았습니다.



내부 네트워크의 백도어 역할이 가능한 웹 셸


하지만, 많은 기업들은 시스템에 웹 셸이 설치될 경우 발생하는 위험에 대해 완벽히 이해하고 있지 않은 것으로 보입니다. 기본적으로 웹 셸은 백도어의 역할을 하며 최우선 순위로 처리되어야 합니다.


NSA와 ASD는 보안 권고를 통해 종종 무시되고 있는 이 공격 벡터에 대한 위험을 다시 한번 상기시켰습니다.


“웹 셸은 다른 시스템에 공격자의 명령을 전달하기 위한 영구 백도어나 릴레이 노드의 역할을 할 수 있습니다.”


“공격자는 네트워크에서 트래픽을 라우팅하기 위해(예: 인터넷 대면 시스템에서 내부 네트워크로)해킹된 시스템의 웹 셸 다수를 연결시켜 사용합니다.”


이 두 기관은 관리자가 이러한 위협을 탐지 및 대응하는데 사용할 수 있는 툴을 포함한 17 페이지 보고서 [PDF]를 공개했습니다. 이 보고서에는 다음 내용이 포함됩니다.


- 제품 웹사이트를 정상 이미지와 비교할 수 있는 스크립트


- 웹 트래픽에서 비정상 URL을 탐지할 수 있는 Splunk 쿼리


- IIS 로그 분석 툴


- 일반적인 웹 셸의 네트워크 트래픽 시그니쳐


- 예기치 않은 네트워크 플로우를 식별하는 방법


- Sysmon 데이터에서 비정상 프로세스 호출을 식별하는 방법


- Auditd에서 비정상 프로세스 호출을 식별하는 방법


- 웹 액세스 가능 디렉토리에서 변경을 막는 HIPS 룰


- 흔히 악용되는 웹 애플리케이션 취약점 목록


위에 언급된 툴은 NSA의 GitHub 프로필에서 찾아보실 수 있습니다.


[GitHub] nsacyber/Mitigating-Web-Shells 바로가기


이 권고에 포함된 모든 조언과 툴도 훌륭하지만, 시스템 관리자는 이미 해킹된 호스트를 검색하기 전 먼저 시스템을 패치하는 것이 좋습니다. NSA와 ASD가 공개한 흔히 악용되는 서버 소프트웨어 목록에서부터 패치를 시작할 것을 권장합니다.


해당 목록에는 Microsoft SharePoint, Microsoft Exchange, Citrix, Atlassian Confluence, WordPress, Zoho ManageEngine, Adobe ColdFusion 등과 같은 인기있는 툴이 포함되어 있습니다.


“‘n-day’ 취약점으로 인한 위험에 대응하기 위해 인터넷 대면 및 내부 웹 애플리케이션 모두를 신속히 패치할 것을 권장합니다.”





출처 :

https://media.defense.gov/2020/Apr/22/2002285959/-1/-1/0/DETECT%20AND%20PREVENT%20WEB%20SHELL%20MALWARE.PDF

https://github.com/nsacyber/Mitigating-Web-Shells

https://www.zdnet.com/article/nsa-shares-list-of-vulnerabilities-commonly-exploited-to-plant-web-shells/

티스토리 방명록 작성
name password homepage