웹 해킹은 웹 사이트 취약점을 공격하는 기술로, 웹 페이지를 통하여 권한이 없는 시스템에 접근하거나 데이터 유출 및 파괴와 같은 행위가 이루어집니다. 특히 웹 애플리케이션을 통해 해킹이 주로 발생됩니다.

OWASP 에서 10대 웹 애플리케이션 취약점을 발표하였고 PLURA는 이걸 기준으로 웹 공격 유형 분석을 통해 탐지 패턴을 등록하여 관리하고 있습니다.

해커는 제로데이 취약점이라고 하는, 이전에 보고된 적 없는 새로운 결함을 찾아다니고 있습니다.
이들이 발견한 직후, 보안 전문가들은 exploit 하나가 악용되고 있는 것을 추적 결과 목격할 수 있습니다.
목격 즉시 PLURA 사용자는 해당 공격을 탐지 또는 차단하는 필터를 등록할 수 있습니다.
제로데이 취약점이 발표되고 패치되기까지 이를 기다릴 필요 없이 바로 자사의 서버를 보호할 수 있습니다.

해커가 WPScan 이라는 툴을 이용해서 WordPress 취약점을 탐색하고 있습니다.

[그림 1] WPScan 전체로그

PLURA는 이러한 다수의 보안 취약점을 스캐닝 하는 무차별 공격을 탐지/차단을 기본적으로 제공하고 있지 않습니다. 이유 중에 하나는 이것을 모두 탐지한다면 과도한 탐지(과탐)으로 업무 부하를 가중할 수 있는 부작용이 있기 때문입니다.

하지만, 만약 스캔 공격 역시 탐지/차단하고자 한다면, PLURA 전체로그를 바탕으로 필터 등록하여 대응할 수 있습니다.


[그림 2] 사용자필터 WPScan

WPScan 결과 해당 서버에서 xmlrpc 취약점이 감지되었습니다.

[그림 3] xmlrpc 감지

xmlrpc 취약점은 Brute Force 공격에 이용되고 있으며, PLURA에서 탐지하고 있습니다.

[그림 4] xmlrpc 취약점 탐지

사용자가 WordPress 관리자 ID를 등록하여 사용자 필터화한다면, 공격 여부 탐지를 넘어 ID 유출 여부를 실시간 탐지할 수 있습니다.

WordPress는 자체 취약점도 존재하지만 취약한 플러그인을 통한 공격이 대부분입니다.

[그림 5] Plugins 활성화

사용자가 등록한 또는 활성화한 Plugins이 아니라면 매우 큰 보안 위협이 될 수 있습니다.


[그림 6] 사용자필터 Plugins

사용자는 설치된 WordPress Plugins 목록을 취합하여 관리할 필요가 있습니다. 이 목록을 포함 제외하여 활성화된 Plugins에 대한 로그를 실시간 탐지할 수 있습니다.

참조
https://ko.wikipedia.org/wiki/%EC%9B%B9_%ED%95%B4%ED%82%B9_