쉘가드
SYSTEM OVERVIEW
시스템 개요
2008년 국내 최초의 웹쉘 탐지 도구(KISA 휘슬)을 개발한 경험과, 2012년까지 5년 동안 지속적인 업그레이드를 진행하면서 축적된 노하우를 기반으로
상용 웹쉘 탐지 솔루션 ShellGuard 2.0을 개발하였습니다.
영업 및 기술지원 문의
Tel: 02-3459-0691
E-mail: lee3359@btec.co.kr
-
Shell GUARD
• 하나 이상의 웹서버에 대하여 각각 웹쉘 프로그램을 탐지하고 관리자는 중앙 관리 및 조치를 취할 수 있습니다.
• 업로드 파일에 대한 웹쉘 프로그램을 실시간으로 탐지합니다.
• 주기적인 웹쉘 패턴을 업데이트 및 자체 패턴 규칙 등을 정의하여 신속한 대응이 가능합니다.
• 각종 탐지 내역 및 검역 내용에 대하여 각종 통계를 제공합니다.
-
웹쉘(WebShell) 탐지의 필요성
• 최근 인터넷상의 공격자들은 개인정보 탈취를 위해 웹서버를 지속적으로 공격하며, 시스템 침입 후 피해시스템을 계속 사용하기 위한 목적으로 웹쉘을 업로드하여 이용함
• 공격자들은 원격에서 웹을 통해 웹쉘에 접속하므로 네트워크 방화벽을 우회할 수 있고 웹쉘은 공격에 필요한 다양한 기능(명령어 실행, 파일업로드, 파일 보기/삭제/수정/생성)을
보유하고 있어 공격자들이 적극 활용하고 있음
• 서버 관리자가 해킹피해를 인지하고 시스템을 재설치 하더라도 웹쉘의 존재를 인지하지 못하고 웹쉘이 포함되어 있는 프로그램을 전체 백업하므로 공격자에게 다시 피해를 입을 수 있음
• 국내외 백신에서는 스크립트로 작성된 웹쉘 탐지 율이 매우 낮아 웹쉘 탐지 전용 프로그램이 필요함
• 대다수의 서버 관리자들은 웹쉘을 탐지하기 위한 지식이 없으며 최근 공격자들이 웹쉘의 노출을 막기 위한 다양한 은닉기법을 사용하고 있음
-
시스템 구성도
MAIN FUNCTION
-
웹쉘 탐지
• ASPP, JSP, PHP 등 웹쉘 탐지 (확장자 추가 기능)
• 최적화 된 탐지 알고리즘 적용
• 웹쉘 디코딩 탐지 (ASP 스크립트 인코딩)
• 시간/요일/주기별/경로 설정 후 스케줄 예약 자동 검사 기능
• 특정 문자열 포함여부 확인 기능
• 예약검사 기능
-
변경 탐지
• 실시간으로 업로드 되거나, 변조되는 파일에 대한 변경을 탐지 및 검사
-
에이전트 / 그룹관리 기능
• 동일 환경 적용 에이전트 그룹 관리
-
코드별 패턴관리
• 웹쉘 탐지룰의 통합관리 기능
-
업데이트 기능
• 웹쉘 탐지룰 자동 / 수동 업데이트
-
다양한 OS 환경 지원
• Windows / Unix / Linux 등 다양한 웹서버 구동
-
관리 기능
• 기본 환경관리 기능 (사용자, 관리자)
• 년, 월, 일간 웹쉘 탐지이력 통계 (그래프) 파일 다운로드
• 년, 월, 일간 탐지룰 파일 IP Address별 통계
• 웹쉘 탐지룰에 대한 사용자 정의의 룰 추가/삭제 및 탐지룰의 선택적 검사 기능
• 탐지 패턴 Top 10 통계
• 메일 알림 설정
-
검역조치
• 검역소 이동 및 웹쉘명 변경 기능
• 검역소에서는 검역소에 저장 된 파일의 내용보기 / 복원 / 날짜별 검색 기능
• 탐지 파일의 상세 내용 확인
• 웹서버 원격 파일 원본 내용 조회
• 웹쉘 파일 확인 후 검역 지원
• 잘못 검역된 파일 복원
• 검역목록 / 예외목록 관리
-
로그 관리 기능
• 웹쉘 탐지 로그 : 시스템 로그, 탐지 로그로 분류
• 날짜별 검색 기능과 텍스트 파일 저장 기능
• 점검 대상 파일에 대한 해쉬값 관리 기능
