WEBSHELL?
웹 서버의 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말합니다.
간단한 서버 스크립트(JSP, PHP, ASP …)로 만드는 방법이 널리 사용됩니다.¹⁾

Microsoft 탐지 및 대응팀에 따르면 Webshell 공격은 2020년 대비 2021년에 2배 증가하였으며, 전 세계적으로 꾸준히 위협이 되고 있는 공격입니다.²⁾

다음 스크린샷은 최근 PLURA 에서 탐지된 악성코드입니다.

[이미지 1] WEBSHELL>FILE EXECUTION – 위험성 높은 함수 호출 탐지

이 악성코드는 GET 방식으로 PHP 코드를 전송 시도하였으며, 주요 데이터는 base64로 인코딩되었습니다.
디코딩 값 확인 결과 http://…/rookie.php 파일을 ./data/…/xmm.php 로 copy 및 출력합니다.

*가상 환경에서 해당 악성코드 Test 진행

[이미지 2] test.php 코드


[이미지 3] test.php 접속


[이미지 4] 외부 IP 주소로 아웃바운드 행위 발생


[이미지 5] test2.php 코드
외부에 위치한 rookie.php 파일을 내부에 test2.php 파일로 copy


[이미지 6] test2.php 접속


[이미지 7] test2.php Webshell 실행

다행히 해당 악성코드가 발견된 업체에서는 이 코드가 실행되지 않았습니다.
하지만 만약 이처럼 취약점이 존재하여 Webshell과 같은 파일이 다운로드 및 업로드되고 실행이 된다면 공격자는 매우 간단히 시스템을 장악할 수 있습니다.

PLURA는 Webshell 공격 유형을 분석하고 이를 자동으로 탐지하고 차단하고 있습니다.

[참조]
1) 위키백과, https://ko.wikipedia.org/wiki/%EC%9B%B9_%EC%85%B8
2) 마이크로소프트, https://www.microsoft.com/security/blog/2021/02/11/web-shell-attacks-continue-to-rise/

[내부블로그]
1) Webshell 대응 방안, http://blog.plura.io/?p=6079
2) Webshell 해킹 데모, http://blog.plura.io/?p=10520