PHP WEBSHELL 악성코드
PLURA
WEBSHELL?
웹 서버의 업로드 취약점을 통해 시스템에 명령을 내릴 수 있는 코드를 의미합니다.
간단한 서버 스크립트(JSP, PHP, ASP …)로 만드는 방법이 널리 사용됩니다.¹⁾
Microsoft 탐지 및 대응팀에 따르면, Webshell 공격은 2020년 대비 2021년에 2배 증가하였으며, 전 세계적으로 꾸준히 위협이 되고 있는 공격입니다.²⁾
다음 스크린샷은 최근 PLURA에서 탐지된 악성코드입니다.
| [이미지 1] WEBSHELL>FILE EXECUTION - 위험성 높은 함수 호출 탐지 |
이 악성코드는 GET 방식으로 PHP 코드를 전송 시도하였으며, 주요 데이터는 base64로 인코딩되었습니다.
디코딩 값 확인 결과 http://.../rookie.php 파일을 ./data/.../xmm.php 로 복사하고 출력합니다.
가상 환경에서 해당 악성코드를 테스트 진행
[이미지 2] test.php 코드 |
[이미지 3] test.php 접속 |
| [이미지 4] 외부 IP 주소로 아웃바운드 행위 발생 |
| [이미지 5] test2.php 코드 |
외부에 위치한 rookie.php 파일을 내부에 test2.php 파일로 복사 |
| [이미지 6] test2.php 접속 |
| [이미지 7] test2.php Webshell 실행 |
다행히 해당 악성코드가 발견된 업체에서는 이 코드가 실행되지 않았습니다.
하지만 만약 이처럼 취약점이 존재하여 Webshell과 같은 파일이 다운로드 및 업로드되고 실행이 된다면, 공격자는 매우 간단히 시스템을 장악할 수 있습니다.
PLURA는 Webshell 공격 유형을 분석하고 이를 자동으로 탐지하고 차단하고 있습니다.
참조
영상
- Webshell 해킹 데모 : https://youtu.be/BszuH4SoZUg?si=mdAoMVVcNuRxSUtZ