웹셸이 어느 덧 공격자들 사이에서 주류 공격 도구로 자리매김 하는 중이다. 인기가 높아지니 웹셸의 기술력 역시 덩달아 높아진다. 가뜩이나 방어가 까다로운 웹셸이었는데, 더 까다로워지는 중이다.
[보안뉴스 문정후 기자] 최초 침해나 취약점 익스플로잇을 완료해 피해자의 네트워크와 장비에 침투하는 데 성공한 공격자들이 그 후의 악성 행위를 위해 사용하는 것들을 ‘포스트익스플로잇 도구(post-exploit tool)’라고 하는데 그 중 인기가 높은 것 중 하나가 웹셸(web shell)이다. 공격자들은 이 웹셸이라는 것을 통해 자신들의 원하는 명령을 피해자의 시스템에 전송해 실행시킬 수 있으며, 사용이 간편하다. 그래서 인기가 계속해서 오르는 중이다.
[이미지 = gettyimagesbank]
최근 보안 업체 아카마이(Akamai)의 위협 연구 책임자인 막심 자보치크(Maxim Zavodchik)는 WSO-NG라는 이름을 가진 웹셸에 주목하고 있다고 한다. 이를 활용하는 공격자가 자신들의 로그인 사이트를 404 오류 페이지(페이지를 찾을 수 없을 때 화면에 출력됨)로 위장하고 있으며, 바이러스토탈(VirusTotal)과 같은 정상적인 서비스들을 통해 공격 대상에 대한 정보를 모으고, 아마존 웹 서비스(AWS)와 관련 있는 메타데이터를 스캔해 개발자의 크리덴셜을 훔치고 있었기 때문이다.
자보치크는 “오늘 날 웹 애플리케이션들을 공략할 방법이 너무나 많아지고 있다”며 “그래서 웹 애플리케이션 최초 침해 이후 사용할 수 있는 도구들에 대한 관심이 높아지고 있는 상황”이라고 설명한다. 아카마이가 주목하고 있는 WSG-NG 웹셸의 경우 최근 마젠토 2(Magento 2)라는 전자상거래 플랫폼을 겨냥한 대형 캠페인에 동원되기도 했다고 한다.
랜섬웨어 그룹들도 웹셸을 애용한다. 클롭(Cl0p) 랜섬웨어의 경우 듀모드(DEWMODE)와 리머루트(LEMURLOOT)라는 웹셸을 사용하는 모습을 최근 보였다. 전자는 액셀리온 FTA(Accellion FTA)를, 후자는 무브잇(MOVEit)을 익스플로잇 한 후에 사용된 것으로 조사됐다.
MS 역시 공격자들 사이에서 웹셸 사용량이 폭발적으로 증가하고 있다고 경고하고 있다. 전년에 비해 2배 가까이 증가했다는 게 MS의 주장이다. “웹셸은 공격자들이 피해자의 서버를 침해한 후 사용하는 도구로, 이를 통해 공격자들은 데이터를 훔칠 수도 있게 되고 피해자의 서버를 공격의 도구로 삼을 수 있습니다. 크리덴셜을 훔친다든지, 횡적으로 움직인다든지, 추가 페이로드를 설치한다든지 하는 모든 활동들을 웹셸이 심긴 피해자 서버로 할 수 있게 되는 겁니다.”
은밀하며 신원을 숨긴 채
공격자들이 웹셸을 선호하게 된 또 다른 이유는 웹셸의 ‘스텔스’ 기능 때문이다. 웹셸은 정적 분석으로는 잘 탐지가 되지 않는다. 웹셸이 일으키는 트래픽은 정상 트래픽과 구분이 가지 않으며, 그렇기에 트래픽 분석도 무용지물로 만든다. 자보치크는 “웹셸은 일반적인 포트들을 통해 트래픽을 주고받기 때문에 웹사이트의 여러 페이지 중 하나로만 보일 뿐”이라며 “공격자의 서버와 통신하기 위해 새로운 채널을 구성하는 기존 멀웨어들과 다르다”고 웹셸이 가진 스텔스 기능을 설명한다.
또한 다크웹에서는 웹셸 쇼핑을 얼마든지 할 수 있다. 구매하려는 자(즉 공격자)들에게는 선택지가 풍부하며 구하기가 쉽다는 의미가 된다. 위에서 언급된 WSO-NG 웹셸의 경우 깃허브에서도 구할 수 있다고 한다. 칼리(Kali)라는 리눅스 배포판의 경우에는 레드팀을 위한 웹셸을 14가지나 무료로 제공한다. 모의 해커들을 위한 정상적 도구인데, 실제 해커들이 악용하는 사례가 빈번하다.
“저렴하며 구하기 쉽고 기능도 좋으며 들키지도 않는 포스트익스플로잇 도구이니 웹셸의 인기가 높을 수밖에 없습니다. 심지어 APT 공격자들도 점점 웹셸을 많이 사용하고 있지요. 이들이 웹셸을 사용해 악성 행위를 실시하면 방어자 입장에서 어떤 공격자가 배후에 있는지 파악할 수가 없게 됩니다.” 자보치크의 설명이다.
웹셸의 방어
이렇게나 까다로운 공격 도구인 웹셸을 어떻게 방어해야 할까? 보안 업체 F5네트웍스(F5 Networks)는 다음과 같은 실천 사항들을 제안한다.
1) 수상한 패턴을 보이는 웹 트래픽이 있는지 모니터링
2) 악성 URL 매개변수가 있는지 감시
3) 출처가 확실하지 않은 URL과 IP 주소의 모니터링 및 차단
4) 서버의 무결성 확인
5) 디렉토리 콘텐츠 모니터링
웹셸의 최초 접근 및 침투에 초점을 맞춘 탐지 기법을 활용하는 것도 일부 전문가들은 권장한다. 트래픽의 흐름을 볼 수 있게 해 주는 웹 애플리케이션 방화벽 역시 웹셸을 방어하는 데 유용하다고 한다.
3줄 요약
1. 최초 접근과 익스플로잇이 너무 쉬워서 이제 그 후 사용되는 도구들에 대한 관심이 높아짐.
2. 가장 인기가 높은 건 현 시점 기준 웹셸임.
3. 최초 침투를 다 막을 수 없다면 웹셸 방어에 집중하는 것도 중요.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 최초 침해나 취약점 익스플로잇을 완료해 피해자의 네트워크와 장비에 침투하는 데 성공한 공격자들이 그 후의 악성 행위를 위해 사용하는 것들을 ‘포스트익스플로잇 도구(post-exploit tool)’라고 하는데 그 중 인기가 높은 것 중 하나가 웹셸(web shell)이다. 공격자들은 이 웹셸이라는 것을 통해 자신들의 원하는 명령을 피해자의 시스템에 전송해 실행시킬 수 있으며, 사용이 간편하다. 그래서 인기가 계속해서 오르는 중이다.
[이미지 = gettyimagesbank]
최근 보안 업체 아카마이(Akamai)의 위협 연구 책임자인 막심 자보치크(Maxim Zavodchik)는 WSO-NG라는 이름을 가진 웹셸에 주목하고 있다고 한다. 이를 활용하는 공격자가 자신들의 로그인 사이트를 404 오류 페이지(페이지를 찾을 수 없을 때 화면에 출력됨)로 위장하고 있으며, 바이러스토탈(VirusTotal)과 같은 정상적인 서비스들을 통해 공격 대상에 대한 정보를 모으고, 아마존 웹 서비스(AWS)와 관련 있는 메타데이터를 스캔해 개발자의 크리덴셜을 훔치고 있었기 때문이다.
자보치크는 “오늘 날 웹 애플리케이션들을 공략할 방법이 너무나 많아지고 있다”며 “그래서 웹 애플리케이션 최초 침해 이후 사용할 수 있는 도구들에 대한 관심이 높아지고 있는 상황”이라고 설명한다. 아카마이가 주목하고 있는 WSG-NG 웹셸의 경우 최근 마젠토 2(Magento 2)라는 전자상거래 플랫폼을 겨냥한 대형 캠페인에 동원되기도 했다고 한다.
랜섬웨어 그룹들도 웹셸을 애용한다. 클롭(Cl0p) 랜섬웨어의 경우 듀모드(DEWMODE)와 리머루트(LEMURLOOT)라는 웹셸을 사용하는 모습을 최근 보였다. 전자는 액셀리온 FTA(Accellion FTA)를, 후자는 무브잇(MOVEit)을 익스플로잇 한 후에 사용된 것으로 조사됐다.
MS 역시 공격자들 사이에서 웹셸 사용량이 폭발적으로 증가하고 있다고 경고하고 있다. 전년에 비해 2배 가까이 증가했다는 게 MS의 주장이다. “웹셸은 공격자들이 피해자의 서버를 침해한 후 사용하는 도구로, 이를 통해 공격자들은 데이터를 훔칠 수도 있게 되고 피해자의 서버를 공격의 도구로 삼을 수 있습니다. 크리덴셜을 훔친다든지, 횡적으로 움직인다든지, 추가 페이로드를 설치한다든지 하는 모든 활동들을 웹셸이 심긴 피해자 서버로 할 수 있게 되는 겁니다.”
은밀하며 신원을 숨긴 채
공격자들이 웹셸을 선호하게 된 또 다른 이유는 웹셸의 ‘스텔스’ 기능 때문이다. 웹셸은 정적 분석으로는 잘 탐지가 되지 않는다. 웹셸이 일으키는 트래픽은 정상 트래픽과 구분이 가지 않으며, 그렇기에 트래픽 분석도 무용지물로 만든다. 자보치크는 “웹셸은 일반적인 포트들을 통해 트래픽을 주고받기 때문에 웹사이트의 여러 페이지 중 하나로만 보일 뿐”이라며 “공격자의 서버와 통신하기 위해 새로운 채널을 구성하는 기존 멀웨어들과 다르다”고 웹셸이 가진 스텔스 기능을 설명한다.
또한 다크웹에서는 웹셸 쇼핑을 얼마든지 할 수 있다. 구매하려는 자(즉 공격자)들에게는 선택지가 풍부하며 구하기가 쉽다는 의미가 된다. 위에서 언급된 WSO-NG 웹셸의 경우 깃허브에서도 구할 수 있다고 한다. 칼리(Kali)라는 리눅스 배포판의 경우에는 레드팀을 위한 웹셸을 14가지나 무료로 제공한다. 모의 해커들을 위한 정상적 도구인데, 실제 해커들이 악용하는 사례가 빈번하다.
“저렴하며 구하기 쉽고 기능도 좋으며 들키지도 않는 포스트익스플로잇 도구이니 웹셸의 인기가 높을 수밖에 없습니다. 심지어 APT 공격자들도 점점 웹셸을 많이 사용하고 있지요. 이들이 웹셸을 사용해 악성 행위를 실시하면 방어자 입장에서 어떤 공격자가 배후에 있는지 파악할 수가 없게 됩니다.” 자보치크의 설명이다.
웹셸의 방어
이렇게나 까다로운 공격 도구인 웹셸을 어떻게 방어해야 할까? 보안 업체 F5네트웍스(F5 Networks)는 다음과 같은 실천 사항들을 제안한다.
1) 수상한 패턴을 보이는 웹 트래픽이 있는지 모니터링
2) 악성 URL 매개변수가 있는지 감시
3) 출처가 확실하지 않은 URL과 IP 주소의 모니터링 및 차단
4) 서버의 무결성 확인
5) 디렉토리 콘텐츠 모니터링
웹셸의 최초 접근 및 침투에 초점을 맞춘 탐지 기법을 활용하는 것도 일부 전문가들은 권장한다. 트래픽의 흐름을 볼 수 있게 해 주는 웹 애플리케이션 방화벽 역시 웹셸을 방어하는 데 유용하다고 한다.
3줄 요약
1. 최초 접근과 익스플로잇이 너무 쉬워서 이제 그 후 사용되는 도구들에 대한 관심이 높아짐.
2. 가장 인기가 높은 건 현 시점 기준 웹셸임.
3. 최초 침투를 다 막을 수 없다면 웹셸 방어에 집중하는 것도 중요.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
