SOLUTION


웹쉘이란? 

“웹언어에서 제공하는 정상적인 서버제어 기능을 악용할 목적으로 개발된 Server Side Script” 이며, 일반적으로 PHP, JSP, ASP, CGI등 여러 언어로 개발된 스크립트. 공격자들은 웹쉘을 이용하여 시스템 통제 수행

웹쉘의 기능 
  1. 웹 프로그램에서 제공하는 모든 기능을 이용하여 각종 해킹의 조작 및 정보의 유출을 수행할 수 있도록 되어 있음
  2. 시스템 명령어의 실행, Database 정보조회/변경/삭제, 해킹프로그램의 추가 설치, 웹 소스 변경 및 악성코드 삽입, 시스템의 정보 조작 및 파괴, 내부 타 시스템 해킹을 위한 경유지 역할, 해킹프로그램의 배포 등의 가능을 포함하고 있음

웹쉘(WebShell) 탐지의 필요성 

최근 인터넷상의 공격자들은 개인정보 탈취를 위해 웹서버를 지속적으로 공격하며, 시스템 침입 후 피해시스템을 계속 사용하기 위한 목적으로 웹쉘을 업로드하여 이용합니다. 공격자들은 원격에서 웹을 통해 웹쉘에 접속하므로 네트워크 방화벽을 우회할 수 있고 웹쉘은 공격에 필요한 다양한 기능(명령어 실행, 파일 업로드, 파일 보기/삭제/수정/생성)을 보유하고 있어 공격자들이 적극 활용하고 있습니다. 


서버 관리자가 해킹피해를 인지하고 시스템을 재설치 하더라도 웹쉘의 존재를 인지하지 못하고 웹쉘이 포함되어 있는 프로그램을 전체 백업하므로 공격자에게 다시 피해를 입을 수 있습니다. 국내외 백신에서는 스크립트로 작성된 웹쉘 탐지 율이 매우 낮아 웹쉘 탐지 전용 프로그램이 필요합니다. 대다수의 서버 관리자들은 웹쉘을 탐지하기 위한 지식이 없으며 최근 공격자들이 웹쉘의 노출을 막기 위한 다양한 은닉기법을 사용하고 있습니다.


웹쉘 및 악성코드 탐지 전용 솔루션 [Shell GUARD] 

하나 이상의 웹서버에 대하여 각각 웹쉘 프로그램을 탐지하고 관리자는 중앙 관리 및 조치를 취할 수 있습니다. 업로드 파일에 대한 웹쉘 프로그램을 실시간으로 탐지합니다. 주기적인 웹쉘 패턴을 업데이트 및 자체 패턴 규칙 등을 정의하여 신속한 대응이 가능합니다. 각종 탐지 내역 및 검역 내용에 대하여 각종 통계를 제공합니다.


웹쉘 탐지 기능 
  • ASPP, JSP, PHP 등 웹쉘 탐지 (확장자 추가 기능)
  • 최적화 된 탐지 알고리즘 적용
  • 웹쉘 디코딩 탐지 (ASP 스크립트 인코딩)
  • 시간/요일/주기별 경로 설정 후 스케줄 예약 자동 검사 기능
  • 특정 문자열 포함여부 확인 기능
  • 예약검사 기능
관리 기능 
  • 기본 환경관리 기능 (사용자, 관리자) 
  • 년, 월, 일간 웹쉘 탐지이력 통계(그래프) 파일 다운로드 
  • 년, 월, 일간 탐지룰 파일 IP Address별 통계 
  • 웹쉘 탐지룰에 대한 사용자 정의의 룰 추가/삭제 및 탐지룰의 선택적 검사 기능 
  • 탐지 패턴 Top10 통계 
  • 메일 알림 설정

검역조치
  • 검역소 이동 및 웹쉘명 변경 기능
  • 검역소에서 검역소에 저장 된 파일의 내용 보기
    /복원/날짜별 검색 기능
  • 탐지 파일의 상세 내용 확인
  • 웹서버 원격 파일 원본 내용 조회
  • 웹쉘 파일 확인 후 검역 지원
  • 잘못 검역된 파일 복원
  • 검역 목록/예외 목록 관리
기타 제공 기능 
  • 동일 환경 적용 에이전트 그룹 관리 
  • 웹쉘 탐지룰의 통합관리 기능 
  • 웹쉘 탐지룰 자동/수동 업데이트 
  • 웹쉘 탐지 로그 : 시스템 로그, 탐지 로그로 분류 
  • 날짜별 검색 기능과 텍스트 파일 저장 기능 
  • 점검 대상 파일에 대한 Hash값 관리 기능 
  • Windows/Unix/Linux 등 다양한 웹서버 구동

변경 탐지 
  • 실시간으로 업로드 되거나, 변조되는 파일에
    대한 변경을 탐지 및 검사

1. ShellGuard 주요기능
신속한 웹쉘 탐지
  • 서버의 웹쉘 및 개인정보 탐지
    (확장자 추가 기능 제공)
  • 웹쉘 인코딩 탐지 (VBscript, Base64 인코딩)
  • 예약검사 기능으로 주기별 자동 탐지 수행
  • 실시간 업로드와 변조 파일에 대한 변경 탐지 및 검사
편리한 원격 조치
  • 웹쉘 탐지 시 자동 검역
  • 탐지된 파일의 소스코드 확인 및 조치
  • 탐지된 내용이 정상인 경우 예외처리 지정
  • 잘못 검역된 파일에 대한 복원처리
  • 검역 및 예외처리 목록 관리
손쉬운 통합 관리
  • 대시보드를 이용한 다수의 서버에 대한 그룹별 에이전트 및 사용자 관리 기능
  • 웹쉘 및 개인정보 탐지룰에 대한 사용자 정의 탐지룰 지원
  • 점검 대상 파일에 대한 해쉽값 관리
  • 탐지 및 점검 내역 등에 대한 조회와 엑셀 다운로드
  • 사용자에 대한 이메일, SMS 알림
  • 점검에 따른 웹쉘 탐지 로그 관리

2. ShellGuard 구성도

다양한 Web/WAS 서버의 운영환경에서 정밀한 패턴 적용으로 초고속의 성능을 발휘합니다.


3. ShellGuard 특장점

다양한 Web/WAS 서버의 운영환경에서 정밀한 패턴 적용으로 초고속의 성능을 발휘합니다.

초고속 엔진의 고가용성
  • C++언어 기반의 제품 개발로 서비스
    중인 시스템의 자원을 최소로 사용
    (기존 운영중인 시스템에 영향을 주지
    않는 안정성)
  • 일일 전수 분석 및 일별 변경된 파일
    내역을 제공
정밀한 패턴의 생산성
  • 한국인터넷진흥원(KISA)의 휘슬 개발과 웹쉘 분류 체계 연구 과제 등의 수행으로 축척된 기술을 통한 정밀한 웹쉘 탐지 패턴의 생산과 제공 (시그니처 기반 및 의심코드(휴리스틱) 탐지기법)
서비스 중심의 안정성
  • 탐지된 파일을 "소스코드 보안취약점 분석 도구"와 연동 분석 기능 (명령실행, 업로드, 다운로드 웹쉘 등이 파일)
  • 웹쉘 탐지 시스템 운영 연속성을 보장을 위한 전문 컨설턴트들의 신속한 대응 체계

4. ShellGuard 경쟁력

다양한 Web/WAS 서버의 운영환경에서 정밀한 패턴 적용으로 초고속의 성능을 발휘합니다.

제품 및 기술관련 문의

제품구입 및 기술관련 문의는 아래의 연락처로 연락 주시면 빠르고 친철하게 답변 드리겠습니다.

전화번호 : 02-857-5844 / E-mail : sales@tigkorea.com

서울시 영등포구 경인로 775(문래동3가)
에이스하이테크시티 1동 815호
전화 : 02-857-5844 / 팩스 : 02-857-5845
대표자 : 허진석 / 개인정보관리책임자 : 송대혁
사업자등록번호 : 119-86-60344