TnD-WSIS

구독
다운로드 2
업데이트 2025. 3. 16.

웹페이지 변조 발생

TnD-WSIS에서 웹사이트 위변조 임계치를 넘는 이벤트가 발생하면 탐지합니다.

쿼리

| search event_code == "4" and deface_score >= deface_threshold

메시지

  • 웹페이지 변조 발생: $domain

출력 필드 순서

  • _log_time, org_code, org_name, domain, url, deface_score, deface_threshold, msg

위협 분석

  • 공격자는 웹 애플리케이션 취약점이나 시스템의 취약점을 악용하여 웹 사이트의 내용을 임의로 변경할 수 있습니다. 웹사이트 변조가 발생한 경우 웹사이트는 이미 공격자의 제어 하에 있으며, 대응 조치가 늦어지면 추가적인 피해가 발생할 수 있습니다.

오탐 유형

  • TnD-WSIS는 이전 웹페이지 내용에서 변경된 내용의 비율이 임계치를 넘었을 때 웹사이트 위변조로 판단하므로, 웹사이트 개편 등 전면적인 변화가 있는 경우에는 오탐이 발생할 수 있습니다.

대응 방안

  • 초기 대응
    • 웹사이트를 임시 중단하거나 피해가 최소화 될 수 있도록 접근을 제한합니다. 예를 들어 긴급 공지 혹은 점검 페이지를 표시하고 조사에 필요한 시간을 확보합니다.
    • 변조된 페이지, 시스템 로그 파일, 웹 로그 및 WAS 로그 파일, 웹 애플리케이션 파일, 데이터베이스 덤프를 포함하여 시스템 전체를 백업합니다.
    • 한국인터넷진흥원의 사이버118을 통해 침해사고를 신고합니다.
  • 원인 분석
    • 방화벽, IPS, 웹 방화벽, 웹 로그를 이용하여 공격 시점과 방식을 분석합니다. 특히 취약점 스캐닝 등 비정상적 접근, 관리자 계정 로그인 시도, 권한 상승 이력 등을 확인합니다.
    • 공격 흔적을 발견하면 관련된 취약점을 확인합니다. 웹 애플리케이션 자체의 취약점이거나, WAS, 프레임워크, 라이브러리의 취약점이 존재할 수 있습니다.
    • 시스템 주요 파일이나 구성에 다른 영향이 없었는지 확인합니다. 공격자는 지속적인 시스템 접근을 위해 관리자 계정을 만들거나 시스템 서비스를 변경할 수 있습니다.
  • 대응 조치
    • 공격에 사용된 취약점을 패치하여 근본적으로 문제를 해결합니다. 운영체제, 웹 서버, 프레임워크, 라이브러리 등 또다른 취약점이 없는지 점검합니다.
    • 모든 계정의 암호를 변경하고, 가능한 경우 2FA를 설정합니다.
    • 로그프레소 센트리를 설치하고 설정 파일 변경 탐지 수집기를 설정하여 주요 시스템 파일에 대해 변경 발생 시 즉시 탐지할 수 있도록 보안을 강화합니다.

MITRE ATT&CK