안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

웹쉘 탐지

안랩 EPP V3 악성코드 경고 로그에서 웹쉘 파일을 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 WebShell/JSP.Generic.S1910 등으로 웹쉘 파일을 탐지하므로, signature 값에 WebShell/ 문자열이 포함된 경고를 추출합니다.

| search signature == "WebShell/*"

메시지

  • 안랩 EPP V3 웹쉘 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • 웹쉘(WebShell)은 공격자가 서버에 업로드하여 원격 명령 실행, 파일 조작, 추가 악성코드 설치 등을 수행할 수 있는 백도어 형태의 악성 스크립트입니다.
  • 웹쉘이 탐지되었다는 것은 이미 해당 서버가 침해되었거나 공격자가 업로드 시도에 성공했을 가능성을 의미하며, 지속적 통제(Persistence) 확보 시도로 이어질 수 있습니다.
  • 웹 서버 취약점 악용, 파일 업로드 기능 오남용 등으로 웹쉘이 설치되는 사례가 많으므로 즉각적인 확인이 필요합니다.

오탐 유형

  • 자체 개발 또는 운영도구에서 JSP, PHP 등 스크립트 파일을 잘못 탐지하는 경우가 드물게 발생할 수 있습니다.
  • 그러나 정상 환경에서 WebShell/ 시그니처에 해당하는 파일이 존재하는 경우는 거의 없으므로 오탐 가능성은 매우 낮습니다.

대응 방안

  • 탐지된 파일의 경로와 내용을 확인하여 실제 웹쉘 여부를 즉시 판단합니다.
  • 웹쉘 파일이 존재할 경우 서버를 격리하고, 웹 로그, 방화벽 세션 로그, 프로세스 생성 이력을 기반으로 침해 범위를 조사합니다.
  • 동일 서버에 업로드된 추가 악성 스크립트나 비정상적인 관리 계정 생성 여부를 점검합니다.
  • 웹 애플리케이션 취약점 점검을 통해 업로드 경로 또는 취약 기능을 폐쇄, 보완하고, 웹 서버 접근 제어 및 웹 방화벽 정책을 강화합니다.

MITRE ATT&CK