目次
Webshell Behavior Detectorの紹介
ウェブシェルと疑われる行為を行動ベースによってリアルタイム検知し、迅速に対処できるよう通知を提供するサービスです。
検知/例外ルールの設定、検知履歴の管理、ウェブシェルファイルの隔離など、ウェブシェル攻撃に迅速かつ簡単に対応できる様々な機能を提供します。
ウェブシェルとは?
システムのコマンドを実行できるシェル(shell)機能をウェブサイト上で利用できるように作られたサーバサイドのスクリプトコードです。システムを破壊したり、情報を流出させたりするなど、悪意ある行為を実行するために意図的に作成された悪性コードです。
サービスの特徴
1) 強固な検知機能
ウェブシェル攻撃は、新規パターンとタイプ、難読化、暗号化通信など検知を避けるために様々な隠蔽技術が適用されているため、非常に検知しにくい攻撃の一つでしたが、Webshell Behavior Detectorは強固な行動ベースの検知技法を利用してこのような隠蔽技術をすべて無力化し、既存のウェブシェルはもちろん、新しいタイプのウェブシェルもリアルタイムに検知できます。
2) リアルタイム検知と通知送信
一定周期で検知する方式ではなく、ウェブシェル行為が発生するとリアルタイムに検知して設定された連絡先に通知を送信するため、迅速に対応できます。
通知周期を設定して過度な通知を防止できます。
3) 簡単な設定
基本的に設定されたルールの他にも、ユーザーが直接例外ルールを設定できます。 細かい設定はもちろん、検知された履歴をもとに数回のクリックだけで簡単に設定できます。
4) 簡単で便利な対応
ウェブシェルと疑われる行為の検知通知を受けた場合、ユーザーはサーバに直接アクセスせず、Webshell Behavior DetectorのConsole画面で簡単かつスピーディーにウェブシェルと疑われるファイルを隔離できます。
5) サーバ環境に合わせて適用
サーバ環境によってはWASによるバッチ処理、またはCIソフトウェアによる作業など意図した作業が実行される場合があります。
行動ベースで検知するため漏れの割合は非常に低いですが、このような作業が行為の観点ではウェブシェルに似ているため、ウェブシェルと疑われる行為として検知される可能性があります。
サービス利用の初期にこのような行為が多少検知されることがありますが、「例外処理」機能を利用して今後は検知されないように設定できます。
このような適応期間を経てサービスを利用するにつれ、お客様のサーバ環境に合わせてウェブシェル行為のみを検知するようになります。
サービスの構造とサービスの活用例
サービスの構造
Webshell Behavior Detectorサービスは、顧客のサーバ内にインストールされたagentを通じて情報をリアルタイムに収集して分析サーバに伝送します。
収集された情報をもとにウェブシェル行為であると判断された場合、迅速に対応するよう顧客に通知を送信します。
また、コンソールでウェブシェルの分析と対応時に参考にできる、ウェブシェルと疑われる行為、ウェブシェルと疑われるファイル、攻撃者と疑われるIPを提供します。
サービスの活用例
- お客様のAさんはウェブサービスをより安全に運用するため、Webshell Behavior Detectorサービスを申請しました。
- 地方出張のために新幹線で移動中、ウェブシェルと疑われる行為の通知を受けました。
- コンソールにアクセスして、ウェブシェルによって実行されたものと思われるコマンドやウェブシェルと疑われるファイルを確認した結果、
ウェブシェルによる侵害事故が発生していることをリアルタイムに確認しました。 - 緊急な状況であるため、直ちにコンソールでファイル隔離機能を通じてウェブシェルと疑われるファイルを隔離措置し、 被害を一時的に食い止めることができました。
- ウェブシェルのアップロードを可能にした脆弱性に対応できるように、一緒に提供された攻撃者と疑われるIPを遮断することで対応する時間を確保できました。
- NAVERクラウドプラットフォームの Web Security Checkerサービスを利用してウェブサービス内にウェブシェルのアップロードを可能にした脆弱性を探し出すことができ、それを処置してウェブシェルの侵害事故被害を最小化することで対応に成功しました。
主な機能
| 機能 | 説明 |
|---|---|
| 行動ベースの リアルタイム ウェブシェル検知 | ウェブサーバ内で発生する各種データをリアルタイムに分析し、ウェブシェル行為をリアルタイムに判断できます。 |
| 知られていない ウェブシェル検知 | 関数名、因子値などウェブシェルファイルを少しでも修正したり、パケットを暗号化したり、SSLが適用された環境では検知が難しい既存のウェブシェル検知ソリューションの限界を克服し、完全に新しいウェブシェルまで検知できます。 |
| ウェブシェルと疑われる 行為情報 と 履歴管理 | ウェブシェルが検知されたサーバ、時間、実行したコマンド、ウェブシェルのパス、攻撃者のIPなどの各種情報を提供します。 顧客は当該情報を参考にしてより綿密な対応戦略を立てることができ、対応方法などの情報を加え、簡単に履歴を管理できます。 |
| ファイル隔離/ ファイル復旧 | サーバに直接アクセスせず、NAVERクラウドプラットフォームのConsole画面で、1クリックでウェブシェルと疑われるファイルを隔離したり復旧できます。 |
| ウェブシェルと疑われる ファイルリストの 提供 | ウェブシェル行為の検知時、迅速に対応できるようにウェブシェルと疑われるファイルリストを提供します 。また、疑わしいウェブシェルファイルに対して作成時間、ファイル権限、所有者、グループ、ファイルのパス、サイズなどの付加情報を併せて提供します。 |
| 攻撃者と疑われるIPリストの提供 | 攻撃者が行った行為を分析したり、IPを遮断するなどの処置のために、攻撃者と疑われるIPと国情報を提供します。 |
| 例外ルール 設定 | 様々な顧客のウェブサービス環境に合わせてサービスを利用できるように、詳しい例外ルール設定機能を提供します。 |
| 通知機能 | ウェブシェル行為を検知した場合、検知内容が選択した方式(E-mail、SMS)でリアルタイムに通知が送信されます。 また、通知インターバルを設定すると、指定した時間内に通知を一回だけ受けられるようにして、過渡な通知を防止できます。 |
| エージェントの 遠隔管理 | サーバにアクセスする必要なしに、NAVERクラウドプラットフォームのConsole画面で簡単に検知を有効化/無効化できる機能を提供します。 |
| サーバグループ | ウェブサーバが多い場合、サーバグループ機能を通じてサーバを分類し、より簡単にサービスを利用できます。 |
利用時の注意事項
1) Agentをインストールした後、NAVERクラウドプラットフォームのConsoleでAgentが有効化されているかを必ず確認してください。
Agentの状態が「有効化」の場合、ウェブシェル行為を検知できる状態です。 有効化ではない場合、有効化状態に変更してください。 有効化状態でない場合には課金されません。
2) サーバ環境に合わせてインストールされているかを確認する方法は、ユーザーガイドを参考にしてください。
Agentをインストールする際、ウェブシェル行為を検知するにはサーバ環境に合わせて設定する必要があります。 異常な検知履歴が収集されたり、正常に設定されているか心配な場合には、ユーザーガイドを参考にしてください。
3) ウェブシェルと疑われるファイルを隔離する際には、慎重に行ってください。
正常なウェブサービスファイルを隔離すると、サービス障害が発生することがあります。 ウェブシェルと疑われるファイルを隔離する際には、慎重に行うことをお勧めします。
4) ウェブシェルと疑われるファイルリスト及び攻撃者と疑われるIPリストは、名前のように高い確率で疑われる対象です。
提供される疑わしいリストは、ファイルの作成時間やアクセスログなど様々な情報をまとめて導き出した情報であり、対処する際に参考にするために提供される情報です。
ウェブシェルと疑われるファイルの隔離または攻撃者と疑われるIP遮断などの処置を行う際は、慎重に検討してから行うことをお勧めします。
5) お客様のウェブサービス環境に適用する時間が必要です。
サービス利用開始から約1ヶ月間ほど、意図した作業行為(正常な行為)が検知されることがあります。
正常な行為に対して例外ルールを適用していくと、ウェブシェル行為中心に検知するようになります。適応期間中は通知のinterval設定を適切に調整することをお勧めします。
