취약점 파고 들어 원격으로 시스템에 명령...개인정보 유출 등 2차 피해 가능성 커
파일 무결성 모니터링, 앱 권한 최소화, EDR, 네트워크 세분화 등 보안 강화 통해 웹셸 방어 필요
[보안뉴스 김영명 기자] 웹셸(web shell)은 웹(web)과 셸(shell)의 합성어로 ‘웹(web)’은 일반적인 웹페이지(web page)를, ‘셸(shell)’은 운영체제상에서 다양한 운영체제의 기능과 서비스를 구현하고 제공하는 프로그램을 의미한다. 웹셸은 웹서버를 장악하기 위해 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 시스템에 명령을 내릴 수 있는 악성코드를 말한다.
[이미지 = utoimage]
웹셸, 업로드 취약점 악용해 원격으로 시스템 조종
웹셸은 ASP, JSP, PHP 등 간단한 서버 스크립트를 통해 만들어지는 작은 악성코드의 조각이다. 스크립트들은 웹서버의 취약점을 통해 업로드된다. 웹셸 설치 시 해커들은 보안 시스템을 피해 별도의 인증 없이 쉽게 시스템에 접속 가능하다. 공격자는 다양한 웹셸 기능을 통해 해당 서버의 제어권을 장악하고 정보 탈취, 위변조, 악성 스크립트 삽입 등 각종 악성행위를 수행한다. 이를 통해 해커는 서버의 정상적인 서비스를 방해하고, 기밀정보 취득, 유출 데이터를 이용한 피싱 범죄는 물론 인접한 타 시스템도 공격할 수 있다.
웹셸은 텍스트 형태로 작성돼 사용되는 경우와 기존의 소스코드에 웹셸이 삽입되는 경우로 나뉜다. 웹셸 공격은 웹서버의 다양한 취약점을 이용해 웹셸 프로그램을 업로드한 후, 원격 명령을 수행하는 강력한 해킹도구로 웹서버 및 개인정보 등 다양한 내부 정보 유출 등의 2차 피해가 가능하다. 일반적인 웹사이트 사용자들과 동일한 웹 서비스 포트를 통해 이뤄지며 백신 등으로 탐지가 어렵기 때문에 해킹 사고가 터지기 전까지는 알아채기가 쉽지 않다.
웹셸은 웹사이트 사용자를 악성코드에 감염시키고, 파일을 부적절하게 수정해 데이터를 손상시키며, 디도스(DDoS) 공격을 수행한다. 또한, 원격 접속으로 다른 외부 네트워크 공격도 할 수 있다.
웹셸 공격, 데이터 탈취 등 더 큰 공격을 위한 시작점
웹셸을 이해하기 위해서는 홈페이지의 구동 원리인 HTTP와 WWW 상에서 정보를 주고 받는 원리를 파악해야 한다. 동적인 페이지를 제공하는 스크립트를 SSS(Server Side Script)라고 하며, 웹 서비스에 이용되는 자바 스크립트(JavaScript) 또는 비주얼 베이직 스크립트(Visual Basic Script) 등 클라이언트 측에 해당하는 부분은 CSS(Client Side Script)를 의미한다.
SSS는 클라이언트가 파일을 HTTP로 요청하면 웹서버(스크립트 엔진)의 정보를 이용해 데이터베이스 서버에 접속, 사용자에게 동적 데이터를 전송한다. 최근에는 동적 데이터 생성뿐만 아니라 세션을 통한 사용자 구분과 각각의 서비스 제공 등 다양한 기능을 구현할 수 있다.
웹셸이 사용자의 컴퓨터에 설치되면 공격자는 원격으로 명령을 실행해 데이터를 훔치거나 자격증명 도용, 키보드 조작을 통한 사용자 정보 탈취 등 다양한 악의적인 행위를 위한 시발점의 역할이 가능하다.
▲웹셸의 공격 흐름도[이미지=KISA]
공격 방식에 따라 세 가지 유형으로 구분
웹셸 공격의 유형은 △바인드 셸(Bind Shell) △리버스 셸(Reverse Shell) △더블 리버스 셸(Double Reverse Shell) 등 3가지로 나뉜다고 긱스포긱스(geeksforgeeks)는 설명했다.
먼저 바인드 셸은 타깃 디바이스에 설치된 셸의 일종이다. 공격 대상이 되는 호스트의 특정 포트에 바인딩돼 디바이스에 대해 수신 대기하며, 해커는 원격으로 이 웹셸에 액세스해 대상 호스트에서 스크립트를 실행하는 데 사용할 수 있다.
리버스 셸은 공격자가 보안 취약점을 이용해 호스트 컴퓨터에 원격으로 연결할 수 있도록 한 후, 공격자가 자산의 포트를 열면 호스트 컴퓨터가 공격자의 포트에 접속하는 방식이다. 그 이후 공격자는 피해자의 컴퓨터를 마음대로 조종할 수 있다.
더블 리버스 셸은 공격 대상이 되는 호스트가 해커로부터 공격을 받는 포트가 아닌 별도의 포트로 해커의 장치에 연결되는 것이다. 따라서 입력 트래픽 포트와 출력 트래픽 포트 등 서로 다른 두 개의 연결포트가 있다.
웹셸을 서버에 올리는 방법은 파일 업로드 창을 이용하는 확장자 우회 방법과 파일 업로드 기능을 이용하지 않고 서버에 웹셸을 생성하는 취약점 방식 등 두 가지로 나눌 수 있다. 확장자 우회는 파일 확장자 우회로 △서버(Server Side Script) 우회 △CSS(Client Side Script) 우회로 구분 가능하다. 취약점 방식으로는 크게 △정상 확장자를 이용한 우회 △웹·앱 애플리케이션 서버 △애플리케이션 △에디터 등 네 가지로 분류할 수 있다.
▲바인드 셸, 리버스 셸, 더블 리버스 셸 구현 원리(위부터)[이미지=긱스포긱스]
웹셸 방어, 분야별 그물망 방어 전략 세워야
웹셸을 방어하기 위해서는 분야별로 세분화된 전략을 세우는 것이 중요하다. 온라인 학습 플랫폼 튜토리얼스포인트닷컴은 웹셸 방어를 위해서는 △파일 무결성 모니터링(File Integrity Monitoring, FIM) △웹 애플리케이션 권한 △침입방지 및 웹 애플리케이션 방화벽 △엔드포인트 감지 및 대응(EDR) △네트워크 세분화 등으로 전략을 세워야 한다고 강조했다.
먼저 ‘파일 무결성 모니터링(FIM)’은 웹을 통해 액세스할 수 있는 폴더의 파일 변경을 방지하기 위한 목적이다. FIM을 구현하면 파일이 디렉터리에 저장되는 즉시 문제를 감시하고 관리자와 보안담당자에게 알리며, 보안담당자는 웹셸을 더 빠르게 탐지하고 제거할 수 있다.
‘웹 애플리케이션 권한’은 웹 앱에 대한 권한을 설계할 때 할당된 임무의 수행에 필요한 권한만 사용자에게 부여하는 것이다. 위협 행위자는 최소 권한 개념에 따라 웹셸의 업로드가 불가능하다. 웹 애플리케이션의 직접 사용 및 변경 기능 비활성화로 이를 실행할 수 있다.
‘침입방지 시스템(IPS)’은 네트워크 트래픽을 추적해 위협으로부터 보호하는 일종의 네트워크 보안 기술이며, ‘웹 애플리케이션 방화벽(WAF)’은 온라인 서비스에서 송수신되는 HTTP 트래픽 패턴을 모니터링하고 필터링해 위협을 방지한다.
‘엔드포인트 감지 및 대응(EDR)’ 측면에서는 특정 호스트 로깅 및 EDR 솔루션으로 웹셸 공격을 방어할 수 있다. 이 도구는 시스템 호출 추적, 프로세스 기록 불규칙성과 악의적인 동작 패턴으로 웹셸을 찾는다. 마지막으로 ‘네트워크 세분화’는 네트워크를 독립적인 하위 네트워크로 나누며, 이를 통해 관련 없는 부분 간의 연결을 방지하는 것이다. 네트워크 세분화를 통해 웹셸 확산을 차단할 수 있다.
[김영명 기자(boan@boannews.com)]
파일 무결성 모니터링, 앱 권한 최소화, EDR, 네트워크 세분화 등 보안 강화 통해 웹셸 방어 필요
[보안뉴스 김영명 기자] 웹셸(web shell)은 웹(web)과 셸(shell)의 합성어로 ‘웹(web)’은 일반적인 웹페이지(web page)를, ‘셸(shell)’은 운영체제상에서 다양한 운영체제의 기능과 서비스를 구현하고 제공하는 프로그램을 의미한다. 웹셸은 웹서버를 장악하기 위해 업로드 취약점을 파고들어 관리자 권한을 획득함으로써 원격으로 시스템에 명령을 내릴 수 있는 악성코드를 말한다.
[이미지 = utoimage]
웹셸, 업로드 취약점 악용해 원격으로 시스템 조종
웹셸은 ASP, JSP, PHP 등 간단한 서버 스크립트를 통해 만들어지는 작은 악성코드의 조각이다. 스크립트들은 웹서버의 취약점을 통해 업로드된다. 웹셸 설치 시 해커들은 보안 시스템을 피해 별도의 인증 없이 쉽게 시스템에 접속 가능하다. 공격자는 다양한 웹셸 기능을 통해 해당 서버의 제어권을 장악하고 정보 탈취, 위변조, 악성 스크립트 삽입 등 각종 악성행위를 수행한다. 이를 통해 해커는 서버의 정상적인 서비스를 방해하고, 기밀정보 취득, 유출 데이터를 이용한 피싱 범죄는 물론 인접한 타 시스템도 공격할 수 있다.
웹셸은 텍스트 형태로 작성돼 사용되는 경우와 기존의 소스코드에 웹셸이 삽입되는 경우로 나뉜다. 웹셸 공격은 웹서버의 다양한 취약점을 이용해 웹셸 프로그램을 업로드한 후, 원격 명령을 수행하는 강력한 해킹도구로 웹서버 및 개인정보 등 다양한 내부 정보 유출 등의 2차 피해가 가능하다. 일반적인 웹사이트 사용자들과 동일한 웹 서비스 포트를 통해 이뤄지며 백신 등으로 탐지가 어렵기 때문에 해킹 사고가 터지기 전까지는 알아채기가 쉽지 않다.
웹셸은 웹사이트 사용자를 악성코드에 감염시키고, 파일을 부적절하게 수정해 데이터를 손상시키며, 디도스(DDoS) 공격을 수행한다. 또한, 원격 접속으로 다른 외부 네트워크 공격도 할 수 있다.
웹셸 공격, 데이터 탈취 등 더 큰 공격을 위한 시작점
웹셸을 이해하기 위해서는 홈페이지의 구동 원리인 HTTP와 WWW 상에서 정보를 주고 받는 원리를 파악해야 한다. 동적인 페이지를 제공하는 스크립트를 SSS(Server Side Script)라고 하며, 웹 서비스에 이용되는 자바 스크립트(JavaScript) 또는 비주얼 베이직 스크립트(Visual Basic Script) 등 클라이언트 측에 해당하는 부분은 CSS(Client Side Script)를 의미한다.
SSS는 클라이언트가 파일을 HTTP로 요청하면 웹서버(스크립트 엔진)의 정보를 이용해 데이터베이스 서버에 접속, 사용자에게 동적 데이터를 전송한다. 최근에는 동적 데이터 생성뿐만 아니라 세션을 통한 사용자 구분과 각각의 서비스 제공 등 다양한 기능을 구현할 수 있다.
웹셸이 사용자의 컴퓨터에 설치되면 공격자는 원격으로 명령을 실행해 데이터를 훔치거나 자격증명 도용, 키보드 조작을 통한 사용자 정보 탈취 등 다양한 악의적인 행위를 위한 시발점의 역할이 가능하다.
▲웹셸의 공격 흐름도[이미지=KISA]
공격 방식에 따라 세 가지 유형으로 구분
웹셸 공격의 유형은 △바인드 셸(Bind Shell) △리버스 셸(Reverse Shell) △더블 리버스 셸(Double Reverse Shell) 등 3가지로 나뉜다고 긱스포긱스(geeksforgeeks)는 설명했다.
먼저 바인드 셸은 타깃 디바이스에 설치된 셸의 일종이다. 공격 대상이 되는 호스트의 특정 포트에 바인딩돼 디바이스에 대해 수신 대기하며, 해커는 원격으로 이 웹셸에 액세스해 대상 호스트에서 스크립트를 실행하는 데 사용할 수 있다.
리버스 셸은 공격자가 보안 취약점을 이용해 호스트 컴퓨터에 원격으로 연결할 수 있도록 한 후, 공격자가 자산의 포트를 열면 호스트 컴퓨터가 공격자의 포트에 접속하는 방식이다. 그 이후 공격자는 피해자의 컴퓨터를 마음대로 조종할 수 있다.
더블 리버스 셸은 공격 대상이 되는 호스트가 해커로부터 공격을 받는 포트가 아닌 별도의 포트로 해커의 장치에 연결되는 것이다. 따라서 입력 트래픽 포트와 출력 트래픽 포트 등 서로 다른 두 개의 연결포트가 있다.
웹셸을 서버에 올리는 방법은 파일 업로드 창을 이용하는 확장자 우회 방법과 파일 업로드 기능을 이용하지 않고 서버에 웹셸을 생성하는 취약점 방식 등 두 가지로 나눌 수 있다. 확장자 우회는 파일 확장자 우회로 △서버(Server Side Script) 우회 △CSS(Client Side Script) 우회로 구분 가능하다. 취약점 방식으로는 크게 △정상 확장자를 이용한 우회 △웹·앱 애플리케이션 서버 △애플리케이션 △에디터 등 네 가지로 분류할 수 있다.
▲바인드 셸, 리버스 셸, 더블 리버스 셸 구현 원리(위부터)[이미지=긱스포긱스]
웹셸 방어, 분야별 그물망 방어 전략 세워야
웹셸을 방어하기 위해서는 분야별로 세분화된 전략을 세우는 것이 중요하다. 온라인 학습 플랫폼 튜토리얼스포인트닷컴은 웹셸 방어를 위해서는 △파일 무결성 모니터링(File Integrity Monitoring, FIM) △웹 애플리케이션 권한 △침입방지 및 웹 애플리케이션 방화벽 △엔드포인트 감지 및 대응(EDR) △네트워크 세분화 등으로 전략을 세워야 한다고 강조했다.
먼저 ‘파일 무결성 모니터링(FIM)’은 웹을 통해 액세스할 수 있는 폴더의 파일 변경을 방지하기 위한 목적이다. FIM을 구현하면 파일이 디렉터리에 저장되는 즉시 문제를 감시하고 관리자와 보안담당자에게 알리며, 보안담당자는 웹셸을 더 빠르게 탐지하고 제거할 수 있다.
‘웹 애플리케이션 권한’은 웹 앱에 대한 권한을 설계할 때 할당된 임무의 수행에 필요한 권한만 사용자에게 부여하는 것이다. 위협 행위자는 최소 권한 개념에 따라 웹셸의 업로드가 불가능하다. 웹 애플리케이션의 직접 사용 및 변경 기능 비활성화로 이를 실행할 수 있다.
‘침입방지 시스템(IPS)’은 네트워크 트래픽을 추적해 위협으로부터 보호하는 일종의 네트워크 보안 기술이며, ‘웹 애플리케이션 방화벽(WAF)’은 온라인 서비스에서 송수신되는 HTTP 트래픽 패턴을 모니터링하고 필터링해 위협을 방지한다.
‘엔드포인트 감지 및 대응(EDR)’ 측면에서는 특정 호스트 로깅 및 EDR 솔루션으로 웹셸 공격을 방어할 수 있다. 이 도구는 시스템 호출 추적, 프로세스 기록 불규칙성과 악의적인 동작 패턴으로 웹셸을 찾는다. 마지막으로 ‘네트워크 세분화’는 네트워크를 독립적인 하위 네트워크로 나누며, 이를 통해 관련 없는 부분 간의 연결을 방지하는 것이다. 네트워크 세분화를 통해 웹셸 확산을 차단할 수 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
