ShellCop

구독
다운로드 3
업데이트 2025. 5. 7.

웹쉘 탐지

ShellCop이 서버에서 웹쉘을 탐지하면 이벤트가 발생합니다.

쿼리

ShellCop 경보 중 분류가 Known Webshell Detect 에 해당되는 경우 탐지합니다.

| search category == "Known Webshell Detect"

메시지

  • 웹쉘 탐지: $host_ip ($signature)

출력 필드 순서

  • _log_time, device_ip, host_ip, agent_group, agent_name, category, signature, file_path, detect_mode, detect_method, detect_count

위협 분석

  • 웹 서버에 웹쉘이 설치되면 공격자가 지속적으로 웹쉘을 통해 임의의 제어 명령을 내릴 수 있습니다.

오탐 유형

  • ShellCop이 정상 파일을 웹쉘 파일로 오탐지 할 수 있습니다.

대응 방안

  • ShellCop 웹쉘 탐지 로그에서는 웹쉘을 업로드한 주체가 식별되지 않으므로, 웹 로그를 통하여 웹쉘을 업로드하거나 접근한 클라이언트 IP를 조사합니다.
  • 방화벽에서 웹쉘을 업로드하거나 접근한 출발지 IP를 차단하여 악의적인 명령을 내릴 수 없도록 조치합니다.
  • 서버에서 웹쉘 파일을 제거하고, 웹쉘을 통해서 시스템에 추가 설치된 파일을 조사하여 제거합니다.
  • 방화벽 로그를 통해 해당 웹 서버에서 내부망에 접근한 흔적을 조사하고, 내부 침투로 이어졌는지 조사하여 조치합니다.
  • 웹쉘을 업로드할 수 있었던 취약점을 확인하여 패치합니다.

MITRE ATT&CK