SUPEX Leadership 과정 개발완료(보고)

W-Shield Anti-Webshell(Enterprise) 제조사 : 조달총판사 :

Contents I. Webshell? II. W-Shield Anti-webshell III. 주요기능 Ⅳ. 레퍼런스 V. COMPANY INFORMATION

I. Webshell? 1. 웹쉘공격 2. 피해사례 3. 웹쉘공격의피해유형 4. 웹쉘이가진특성 5. 기존보안시스템우회

1. 웹쉘공격 I. Webshell 해킹사고분석결과가장빈도수가높은해킹기법이 웹어플리케이션의파일업로드취약점을악용한웹쉘업로드 이며, 해킹성공시시스템은공격자에게완전장악되어다양한피해를유발합니다. Web Programming 언어로이뤄진 Script 원격에서웹서버로다양한명령을수행시킬수있는강력한해킹도구 보통 PHP, JSP, ASP, ASPX, CGI 로개발 웹쉘 (Webshell) 공격자 검색엔진이용등인터넷을통해쉽게취득 상대적으로보안수준이낮은 BP/CP 를통해공격 웹서버 게시판을이용한파일업로드 SQL Injection, File Include, 개발자의지식부족및실수등다양한취약점존재 공격성공..!! 파일, 디렉터리 ( 폴더 ) 조작 파일업로드다운로드, 계정생성, 시스템명령어수행등공격자에게완전장악 내부 ( 개인 ) 정보유출등 2 차피해로연결 Copyright SKinfosec Co.,Ltd. All rights Reserved 3

2. 피해사례 I. Webshell 웹쉘은가장기초적인해킹툴에속하며, 웹쉘을이용한해킹사고는매년빈번히발생하고있습니다. KISA 인터넷침해대응센터에따르면해킹당한웹서버중웹쉘이발견된웹서버는 90% 이상이라고합니다. 국내보안사고원인 웹쉘로인한피해사례 Webshell 출처 : SK 인포섹침해사고 Trend Copyright SKinfosec Co.,Ltd. All rights Reserved 4

3. 웹쉘공격의피해유형 I. Webshell 웹쉘을이용한공격성공시, 홈페이지위 변조, 개인정보를포함한중요정보유출, 악성 URL 삽입등심각한피해를입힐수있습니다. 시스템훼손 정보유출 2 차피해유발 Web 소스편집등을통한디페이스 (Deface) 공격 기업및기관내중요파일유출 유출된개인정보를이용한보이스피싱범죄 계정생성, 파일업로드등시스템제어로 Backdoor 생성 시스템에접속한 PC 로악성코드유포 시스템이용자의개인정보유출 시스템파괴로인한웹서비스불가 인접한타시스템공격에이용 Copyright SKinfosec Co.,Ltd. All rights Reserved 5

4. 웹쉘이가진특성 I. Webshell 웹서버공격시대표적으로활용되는웹쉘은기존의보안시스템을우회하기용이하고, 다양한기능을활용할수있으며, 난독화기술을적용하여, 탐지를어렵게합니다. 01 스크립트난독화 시스템관리자가스크립트내용을확인하기어려움 난독화를통해바이러스백신에서의탐지및즉각적인대응이어려움 02 다양한기능활용 파일관리, 다수의파일압축다운로드, DB 조회및 Export, 서버에서시스템명령실행 대체로직관적인 UI 를제공하여, 웹쉘의다양한기능을효율적으로이용 03 기존의보안시스템무력화 암호화 / 난독화를통하여, IDS, IPS, WAF(Web Application Firewall), 바이러스백신등기존보안시스템우회 인가된서비스 (HTTP:80Port) 를이용 04 탐지의어려움 한줄로이루어진웹쉘이다수의정상적인파일내부에포함되어인지하기어려움 웹쉘자체가악성코드가아니므로전용솔루션이없을경우, 신속한탐지및대응이어려움 Copyright SKinfosec Co.,Ltd. All rights Reserved 6

5. 기존보안시스템우회 I. Webshell 웹쉘은허용된서비스 (Web), OS 및어플리케이션의취약성을이용하며, 난독화와암호화기술까지적용되어기존의 보안시스템만으로는신속한탐지 / 대응이어렵습니다. F/W IP 주소 /Port 정보만으로제어 방화벽에서허용된웹서비스 (HTTP/80Port) 를통해공격 N-IDS Network 계층검사만으로는 Application 취약성공격을방어하기어려움 암호화및난독화된웹쉘을이용하여우회 IPS IDS 의특성을상속 탐지및차단기능을제공하고있으나웹쉘탐지어려움 WAF 웹쉘기능이나특성별로매번정책을설정하기어려움 Virus vaccine 웹쉘은스크립트로이루어져수정이용이하여, 변종이많아탐지가어려움 Web WAS DB DMZ Copyright SKinfosec Co.,Ltd. All rights Reserved 7

II. W-Shield Anti-webshell 1. 웹쉘전용탐지 / 대응솔루션 W-Shield 2. 주요프로세스 3. Points of Difference 4. 기대효과 5. 구성도

1. 웹쉘전용탐지 / 대응솔루션 W-Shield II. W-Shield Anti-webshell W-Shield 는고객사서비스의환경을이해하고축적된보안관제 Know-How 를통해체계적이고안정적으로개발된웹쉘전용탐지 / 대응솔루션입니다. 침해사고탐지 / 대응강화 대고객서비스연속성강화 보안솔루션운영최적화 신규 / 변경된웹쉘에대한주기적인모니터링으로사전적사고예방 웹쉘탐지시취약점포인트파악 / 보완 최소한의리소스사용으로서비스연속성확보 Agent/Script 구조상시스템충돌최소화 신뢰할수있는웹쉘패턴최신화 난독화 /Encode 분야최고의기술보유 솔루션개발배경 웹취약점을이용한침투경로증가 게시판취약점 ( 파일업로드 ) File Include 취약점 HTTP Put Method SQL Injection, Struts 취약점등 기존보안장비탐지우회 방화벽웹서비스포트제어불가 웹쉘업로드후웹방화벽우회 Encode, 난독화로보안장비탐지우회 백신탐지우회 S 포탈해킹 웹쉘해킹사례다수발생 N 투자증권 HTS 해킹 E 교육사이트해킹 -> 웹쉘전파및개인정보유출발생 Copyright SKinfosec Co.,Ltd. All rights Reserved 9

2. 주요프로세스 II. W-Shield Anti-webshell W-Shield 는고객사의주요요구사항을적극적으로반영하여, 관제대상시스템의가용성을최우선적으로고려하면서도기능의다양성을갖춘 Agent 형과 OS 에자유로운 Script 형을통합하여혁신적으로개선한 Enterprise 버전을제공합니다. Customer Needs 주요프로세스 01. 웹쉘잘잡아야!!! (False negative 최소 ) Management System 1 웹쉘탐지정책설정 2 탐지정책수신 02. 관제대상시스템의가용성 (Availability) 03. Agent/Script 통합 UI Component 5 분석대상파일수신 3 분석대상선정 4 분석대상파일전송 04. Fault Tolerance 05. Patten Update 06. False Positive 최소 ( 오탐 ) 07. Detection Speed 08. And so on OS Correction & Analysis Component 6 7 기준정보생성 (Hash 추출 ) 웹쉘여부확인 8 탐지시, 관리자통보 (e-mail/sms) 5 6 파일모니터링 실시간 / 주기전송 ( 변경된파일정보 ) Agent/Script Copyright SKinfosec Co.,Ltd. All rights Reserved 10

3. Points of Difference II. W-Shield Anti-webshell 웹쉘잘잡는솔루션 정탐은높게, 오탐은낮게 Soft Failover 적용 국내최대규모의보안관제를통한최신웹쉘정보상호공유 ( 보안관제전문인력 450 여명 ) 사고흔적조사를통한신규웹쉘패턴반영 Top Cert 조직에의한최대난독화분석기술보유 (Base64/VBEncode/Gzip 등 ) Anomaly Inspection Analysis 기술적용 사고발생시최고의원인분석및대응역량보유 Webshell Hash Comparison Multi-Pattern Analysis 정탐레벨분석및오탐필터링엔진적용 ( 국내특허등록 ) Correction & Analysis Component Correction & Analysis Component 1 2 3 정상운영 장애발생 자동 Failover Agent 형과 Script 형의통합 가용성이핵심인고객 : Script 형 기능의다양성선호고객 : Agent 형 환경제약요소극복 : Script 형 기능의다양성 가용성환경제약 Script 에의한리소스활용최소화 ( 국내 / 일본특허등록, 미국 / 중국출원 ) 분석전용시스템별도운영 ( 관제대상시스템리소스사용최소화 ) 3/20 사태와같은사고의미연방지 (Agent/Script 업데이트최소화 ) 통합관제 1 위기업의솔루션 대규모통합관제형아키텍처 선택의폭은넓게!! 관제대상시스템가용성 대규모통합관제최적화 Copyright SKinfosec Co.,Ltd. All rights Reserved 11

4. 기대효과 II. W-Shield Anti-webshell W-Shield 는웹쉘공격에대한전용탐지 / 대응솔루션으로기존보안시스템을우회하는웹쉘공격으로부터신속히대응하여, 안정적인웹서비스를제공할수있도록지원합니다. 효율적웹쉘방어 대응범위확장 AS-IS 제한적방어 웹쉘탐지 / 대응 웹위 변조방지 기존보안체계의한계극복 웹쉘탐지 / 대응 웹위 변조방지 기존의보안시스템을우회하여공격하는웹쉘에대하여탐지 / 차단 난독화, 암호화등진화하는웹쉘공격기술방어 전용웹쉘탐지 / 대응시스템에의한신속한웹쉘공격탐지와대응 지속적패턴업데이트와실시간탐지기능을통해웹쉘공격에효율적대응 대량의웹소스파일의변동내역을효과적으로관리 비인가자의웹소스무단변경시신속한복구 Copyright SKinfosec Co.,Ltd. All rights Reserved 12

5. 구성도 II. W-Shield Anti-webshell [Agent/Script 지원환경 ] 구분 Agent Script OS 환경 Windows(2000 SP4 이상 ) Linux (Kernel 2.6 이상 ) Unix 계열 JRE 1.6 이상 ( 단, Unix 계열 1.7 이상 ) Windows 계열 Linux Unix 계열 IIS, Apache, Tomcat, Web logic, WebSphere, JEUS 등 W-Shield Web Application W-Shield Engine Web Server OS [ 관리서버구조 ] 외부자에의한 Webshell Attack Response 범례 내부자에의한 Webshell Attack Response Copyright SKinfosec Co.,Ltd. All rights Reserved 13

III. 주요기능 1. Dashboard 2. 분석및대응 3. 위 변조탐지 4. 에이전트관리 5. 탐지패턴관리 6. 보고서 7. 시스템관리

1. Dashboard III. 주요기능 Dashboard 기능은웹쉘탐지시스템의전체현황을한번에확인할수있으며, 경우에따라 Dash-Board 에서도탐지된웹쉘을직접적으로조치할수있는기능을제공합니다. 주메뉴 시스템운영현황 웹쉘탐지 / 장애발생등 Alert Drill-Down Tool-tip 를활용한세부내역확인 웹쉘탐지내역 장애탐지내역 Copyright SKinfosec Co.,Ltd. All rights Reserved 15

III. 주요기능 2. 분석및대응 / 미분석이벤트탭 분석및대응페이지는웹쉘탐지이벤트를모니터링하는화면으로정 오탐분석기를경유하여오탐최소화및 정탐의신뢰도를향상시킵니다. 분석대상파일 Multi-Comparison Analysis 미처리 정 오탐분석기 정탐 정탐 : 정 오탐분석기를거쳐시스템상정탐으로간주되는이벤트 오탐 : 정 오탐분석기를거쳐시스템상오탐으로간주되는이벤트 미처리 : 정 오탐분석기를거쳤으나시스템상정탐 / 오탐을구분할수없는이벤트 미처리 : 정 / 오탐을구분할수없는이벤트 결론적으로분석 / 대응페이지의모든이벤트가정탐으로처리되어대응되거나또는오탐으로처리되어 Clear 한상태를유지하는것이주요목적 Copyright SKinfosec Co.,Ltd. All rights Reserved 16

III. 주요기능 2. 분석및대응 / 조치탭 검역페이지는분석및대응탭에서탐지된정탐이벤트에대해대응조치를취했을경우관련정보가관리되는 페이지입니다. 미분석이벤트처리 조치탭 자동검역 ( 자동격리 ) 수동검역 Rename 격리 삭제 삭제, Rename 검역소이동등조치내역확인 대응조치 : 탐지된정탐이벤트는어떤방식으로든처리필요 방법 : 삭제, 검역소이동 (Rename 병행 ), Rename 조치탭 ( 관리 ) Copyright SKinfosec Co.,Ltd. All rights Reserved 17

III. 주요기능 2. 분석및대응 / 예외및오탐처리 예외탭에서는미분석이벤트탭에서탐지된항목중예외조치되어추후검색시에도탐지되지않도록조치한이력정보를관리합니다. 오탐탭은미분석이벤트탭에서탐지된이벤트중에서오탐처리된이력정보를관리합니다. 오탐처리된항목은수정등의변동사항이발생될경우재탐지됩니다. 예외 / 오탐처리절차 이력관리 예외 / 오탐프로세스 원복탭 원상복구 ( 내역관리 ) 오탐탭 자동또는수동검역 예외탭 예외탭 오탐탭 원복 : 정탐또는오탐분류후, 분류가잘못되었거나예외처리가필요한경우원상복구 ( 미분석이벤트 ) 하는절차 Copyright SKinfosec Co.,Ltd. All rights Reserved 18

4. 에이전트관리 III. 주요기능 에이전트관리기능은 W-Shield Anti-webshell 의 Agent 및 Script 를관리하는기능으로조직도와연계하여현황을모니터링할수있으며, 에이전트및 Script 에다양한정책을부여하고관리할수있습니다. 조직도와연계하여 Agent 관리 Agent 별다양한상태관리 - IP/ 대표도메인 - 분석주기 : 실시간, 반복주기 - 검색대상 - 검색타입 ( 자동 / 수동검역 ) - 검역방법 - 동작상태 - 장애유형 - 진행단계 - 진행률 - 기타 많은수의 Agent 관리에필요한검색기능 Agent 가설치된서버정보와자원사용량표시 Copyright SKinfosec Co.,Ltd. All rights Reserved 21

III. 주요기능 4. 에이전트관리 / 웹쉘탐지정책설정 W-Shield Anti-webshell 은 Agent 와 Script 별로정책을관리할수있으며, 주요관리정책은다음과같습니다. 확장자, 크기, 그룹지정등주요정책설정 분석대상디렉터리 ( 폴더 ) 지정 분석주기설정 검역타입 : 자동 / 수동 관제대상시스템자원사용률에대한경보정책설정 Agent 관리자설정 Copyright SKinfosec Co.,Ltd. All rights Reserved 22

5. 탐지패턴관리 III. 주요기능 탐지패턴관리기능은제조사에서제공하는웹쉘패턴인 글로벌패턴, 고객사에서패턴을생성하여관리할수있는 고유패턴, 글로벌패턴과고유패턴중예외처리를위한 예외처리패턴 으로구성되어있습니다. 파일을이용한패턴업데이트지원 사용자패턴등록 패턴활성화 / 비활성화선택가능 Copyright SKinfosec Co.,Ltd. All rights Reserved 24

7. 시스템관리 III. 주요기능 시스템관리기능은 W-Shield Anti-webshell 을운용하기위한핵심기능인 그룹관리, 분석서버관리, 사용자관리, 외부시스템연동관리, 감사 / 시스템로그, 시스템설정 기능으로구성됩니다. 에이전트그룹관리 라이선스등주요서버정책설정 3-Tier 구조, 대규모관제를위한기능 그룹별, 권한별사용자관리 감사 / 시스템로그조회 이벤트통합관리를위한타시스템연동설정 Copyright SKinfosec Co.,Ltd. All rights Reserved 26

Ⅳ. 레퍼런스 1. 주요레퍼런스