5가지 인기 웹 셸에 대한 전체 스펙트럼 탐지: Alfa, SharPyShell, Krypton, ASPXSpy 및 TWOFACE

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

이 보고서는 5가지 주요 웹셸에 대한 기술적 개요를 제공합니다: 알파, 크립톤, 샤피쉘, ASPX스파이, 투페이스. 여기에는 웹 셸과 호스트 기반 및 네트워크 기반 탐지 기능에 대한 자세한 내용이 포함되어 있습니다. 이 보고서는 탐지 엔지니어링에 중점을 두는 보안 운영 담당자를 대상으로 합니다. 출처: 레코디드 퓨처 플랫폼®, 그레이노이즈, 쇼단, 바이너리엣지.

Executive Summary

웹 셸은 위협 공격자가 공용 웹 서버에 대한 액세스를 유지하기 위해 사용하는 일반적이고 강력한 도구입니다. 이러한 공격은 코드가 4줄에 불과할 정도로 가벼우며, 위협 행위자가 2차 페이로드를 실행하고, 권한을 상승시키고, 데이터를 유출하고, 손상된 네트워크 내에서 측면으로 이동할 수 있게 해줍니다. 웹 셸은 사용 중에 남는 작은 설치 공간, 조직의 공용 서버에 대한 제한된 가시성, 웹 셸 관련 네트워크 트래픽이 정상적인 웹 서버 활동과 혼합되는 특성으로 인해 탐지되지 않는 경우가 많습니다. 저희의 연구는 로그 분석, 네트워크 분석, 웹 셸 스캐닝 기술을 결합하여 웹 셸 탐지에 대한 전체 스펙트럼의 접근 방식을 제공합니다. 최근 국가 지원 및 범죄 위협 공격자들이 사용하는 웹 셸의 하위 집합에 초점을 맞춥니다: 알파, 샤피쉘, 크립톤, ASPX스파이, 투페이스. 당사의 방법론과 탐지는 내부적으로 방어자를 위해 적용될 수 있을 뿐만 아니라 외부 서버에서 웹 셸의 존재를 추적하는 보안 연구원에게도 적용될 수 있습니다.

주요 판단

• 웹 셸은 사용이 간편하고 탐지가 어렵기 때문에 APT와 금전적 동기를 가진 위협 행위자 모두에게 계속 사용될 것입니다.
• 함께 사용할 수 있는 웹 셸을 탐지하는 4가지 기술을 확인했습니다: YARA 규칙, 시그마 규칙, 네트워크 트래픽 패턴, 내부/외부 스캐닝입니다. 이러한 방법이 완벽하지는 않지만, 방어자가 시스템에서 웹 셸을 찾을 수 있는 다양한 기회를 제공합니다.
• 호스트 및 네트워크 가시성이 제한적인 보안 팀도 HTTP 스캐닝 기술을 사용하여 시스템에서 웹 셸을 탐지할 수 있습니다.
• 위협 행위자가 퍼블릭 대면 서버를 실제로 악용할 수 있는 한, 그들은 지속성을 유지하고 추가 기능을 제공하기 위해 웹 셸을 계속 사용할 것입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.