Shell GUARD

구독
다운로드 5
업데이트 2024. 8. 17.

웹쉘 탐지

Shell GUARD가 서버에서 웹쉘을 탐지하면 이벤트가 발생합니다.

개요

  • 중요도: 상
  • 유형: 실시간 탐지
  • 로그 스키마: Shell GUARD 탐지
  • 대상 수집모델
    • Shell GUARD

쿼리

Shell GUARD의 모든 웹쉘 탐지 유형(실시간 웹쉘 탐지, 정기 웹쉘 탐지, 업로드 필터링)에 대해 탐지합니다.

| search isnotnull(agent_id) and isnotnull(file_path)

메시지

  • 웹쉘 탐지: $agent_id

출력 필드 순서

  • _log_time, log_type, agent_id, file_path, line_num, sid, url_count

위협 분석

  • 웹 서버에 웹쉘이 설치되면 공격자가 지속적으로 웹쉘을 통해 임의의 제어 명령을 내릴 수 있습니다.

오탐 유형

  • Shell GUARD가 정상 파일을 웹쉘 파일로 오탐지 할 수 있습니다.

대응 방안

  • Shell GUARD 로그에서는 접속 IP가 식별되지 않으므로, 웹 로그를 통하여 웹쉘을 업로드하거나 접근한 클라이언트 IP를 조사합니다.
  • 방화벽에서 웹쉘을 업로드하거나 접근한 출발지 IP를 차단하여 악의적인 명령을 내릴 수 없도록 조치합니다.
  • 서버에서 웹쉘 파일을 제거하고, 웹쉘을 통해서 시스템에 추가 설치된 파일을 조사하여 제거합니다.
  • 방화벽 로그를 통해 해당 웹 서버에서 내부망에 접근한 흔적을 조사하고, 내부 침투로 이어졌는지 조사하여 조치합니다.
  • 웹쉘을 업로드할 수 있었던 취약점을 확인하여 패치합니다.

MITRE ATT&CK