목차

시작하기 전에

Webshell Behavior Detector 서비스는 탐지 대상 등록과 에이전트를 설치해야 이용이 가능합니다.

서비스 이용은 다음과 같은 순서로 진행됩니다.

  1. 서비스 이용 신청 및 탐지 대상 등록

  2. 에이전트 설치 및 실행 에이전트 설치 및 실행 가이드

  3. 서비스 이용 안내

    • 알림 빈도에 맞춰 Interval 설정
    • 탐지된 웹쉘 행위 대응 및 관리
    • 서버 환경에 맞춰 예외 설정

1. 서비스 이용 신청 및 탐지 대상 등록

security-17-102

  • 콘솔에 접속하여 Products & Services >Security >Webshell Behavior Detector 메뉴로 이동하여 “상품 이용 신청”을 클릭합니다.

security-17-103

  • 이용 약관을 동의합니다.

security-17-104

  • “탐지 대상 등록” 페이지로 이동합니다.

security-17-105

  1. 탐지 대상으로 등록할 서버를 선택합니다. (선택할 수 있는 서버가 없을 경우 서버를 먼저 생성 후 이용합니다.)
  2. 서버 환경에 맞춰 선택합니다. 두 가지 환경 모두 해당할 경우 모두 선택합니다.

security-17-106

  1. 선택한 서버 환경에 맞게 웹루트 및 업로드 디렉터리를 입력합니다.
  2. 웹루트는 필수 입력 요소입니다.
  3. 경로 입력 시 “추가” 버튼을 눌러야 입력이 완료됩니다.
  4. 경로가 여러 개일 경우 모두 입력하며 경로가 겹치는 경우는 상위 경로만 입력합니다.
  5. 화면의 “예시”와 같이 절대 경로를 입력해야합니다.

security-17-107 security-17-108

  • 탐지 대상에서 발생하는 웹쉘 행위 알림을 받을 대상자와 매체를 선택합니다.

security-17-109

  • 필요할 경우 탐지 대상에 대해 메모를 남깁니다. 추후 수정이 가능합니다.

security-17-110

  • 맞게 입력하였는지 확인 후 탐지 대상 등록을 완료합니다.

    ※ 탐지 대상 등록 시 에이전트는 “활성화”로 설정됩니다.
    ※ 에이전트 설치 시 에이전트가 자동으로 실행되며, 정상적으로 실행되었을 때부터 과금이 시작됩니다.
    ※ 과금을 원하지 않을 경우 “Detection Setting > Configuration”에서 탐지 대상을 선택 후 “비활성화”로 설정합니다.
    에이전트가 비활성화된 시점부터 과금되지 않습니다.

2. 에이전트 설치 및 실행

security-17-111

탐지 대상 등록을 완료하였다면 에이전트 설치 및 실행 가이드를 참고하여 에이전트를 설치합니다.

3. 서비스 이용 안내

알림 빈도에 맞춰 Interval 설정

security-17-112

  • 웹쉘 행위 특성상 짧은 시간 내 많은 명령어가 실행될 수 있습니다. 실행되는 명령어마다 알림을 발송할 경우 과도한 알림이 발생할 수 있기 때문에 Interval 설정을 통해 이를 방지할 수 있습니다.
  • Interval로 설정한 시간 내에는 한 번의 웹쉘 탐지 알림만 발송하며 기본 값은 10분으로 서버 환경에 맞춰 설정합니다.
  • 서버 환경에 적응이 필요한 서비스 이용 초기에는 비교적 많은 알림이 발생할 수 있으니 이용기간에 따라 Interval을 적절히 조정할 것을 권고드립니다.
  • Interval 은 웹쉘 행위 탐지 알림만 해당합니다.

탐지된 웹쉘 행위 대응 및 관리

웹쉘 행위가 탐지될 경우 설정한 매체(Email/SMS)를 통해 알림이 발송되며 상세한 정보는 콘솔에서 확인할 수 있습니다.

웹쉘 행위 발생 확인

security-17-113

  1. 새롭게 탐지된 웹쉘 행위에 대해 고객님이 쉽게 알아볼 수 있도록 font color를 red로 표기합니다.
  2. “확인” 처리를 통해 font color 설정을 해제하거나 “의심 파일 격리”를 할 경우 font color가 자동으로 해제됩니다.

웹쉘 행위 상세 정보 확인

security-17-114

  • Webshell Behavior Detector는 웹쉘 행위 발생을 실시간으로 확인할 수 있으며 웹쉘 공격 여부를 판단하는데 참고할 수 있는 다양한 정보를 제공합니다.
  • 프로세스 실행 내역 정보를 제공
  • 웹쉘 의심 파일
  • 공격자 의심 IP 및 국가 정보

웹쉘 공격 대응

security-17-115 security-17-117

  • 웹쉘로 의심될 경우 콘솔에서 “파일 격리” 기능을 통해 서버에 접속하지 않고 파일 격리가 가능합니다.

security-17-116

  • “의심 IP”를 참고하여 공격자의 웹 서비스 접근을 차단하는데 참고할 수 있습니다.
  • 웹쉘 공격에 대한 근본적인 방어는 아니지만, 웹쉘이 업로드 된 경위를 분석하고 대응하는 시간을 확보하는 방법 중 하나로 활용이 가능합니다.

웹쉘 행위 이력 관리

웹쉘 행위 이력을 관리할 수 있도록 “확인”, “메모”, “삭제”, “예외 처리” 등 기능을 제공합니다.

security-17-118

  1. 확인 기능 : “확인할 대상” 또는 “확인한 대상”이라는 의미로 사용할 수 있는 기능입니다.
  2. 메모 기능 : 탐지된 웹쉘 행위에 대해 메모를 작성하여 관리하는데 참고할 수 있는 기능입니다.
  3. 삭제 기능 : 불필요한 웹쉘 행위일 경우 이력에서 삭제할 수 있는 기능입니다.
  4. 예외 처리 기능 : 탐지된 웹쉘 행위에 대해 예외 처리가 필요한 경우 예외 규칙 생성과 함께 excepted list로 이동시키는 기능입니다.

서버 환경에 맞춰 예외 설정

Webshell Behavior Detector는 강력한 행위 기반 탐지 기법으로 웹쉘 행위를 탐지하는 서비스입니다.

수 많은 고객들의 다양한 웹 서비스 환경에서도 높은 웹쉘 탐지율을 보여줄 수 있으나 웹 서비스가 아니지만 웹 인터페이스를 제공하는 다양한 소프트웨어들을 웹쉘 행위로 오탐하는 경우가 발생할 수 있습니다. 또는 웹 서비스를 이용한 예약 작업 등 고객이 의도한 작업을 웹쉘 행위로 오탐하는 경우가 발생할 수 있습니다.

다양한 고객을 대상으로 서비스를 제공하는 입장에서 의도한 작업의 행위와 웹쉘 행위를 구분하기가 쉽지 않을 수 있으나 예외 설정 기능을 통해 고객 서버에 맞게 커스터마이징하여 강력한 웹쉘 탐지 서비스를 이용할 수 있습니다.

예외 설정은 다음과 같은 방법으로 설정할 수 있습니다.

  1. 탐지된 웹쉘 행위를 기반으로 예외 규칙 생성하기
  2. 새로운 예외 규칙 생성하기
  3. 기존에 추가한 예외 규칙을 기반으로 예외 규칙 생성하기

1. 탐지된 웹쉘 행위를 기반으로 예외 규칙 생성하기

security-17-119

  • 예외 처리할 탐지된 웹쉘 행위를 선택하여 간편하게 예외 규칙을 생성할 수 있습니다.

2. 새로운 예외 규칙 생성하기

security-17-120

  • 새로운 예외 규칙을 생성하는 방법으로, 탐지된 웹쉘 행위를 바탕으로 생성하는것보다 번거로울 수 있으나 자유롭게 규칙을 생성할 수 있으며 웹쉘 행위로 탐지되기 전에 선제적으로 예외 처리할 수 있습니다.

3. 기존에 추가한 예외 규칙을 기반으로 예외 규칙 생성하기

security-17-121

  • 비슷한 예외 규칙을 여러 개 생성해야할 경우 기존에 생성한 예외 규칙을 복제하여 간편하게 생성할 수 있습니다.

4. 탐지 대상 등록 해제

security-17-121-1 security-17-121-2

  • "탐지 대상 해제" 버튼을 통해 탐지 대상으로부터 해제할 수 있습니다.
  • 탐지 대상 해제 시 webshell 공격 위험에 노출되므로 신중히 진행해주세요. 에이전트는 자동으로 종료되며 더 이상 과금되지 않습니다.
  • 탐지 대상에 대해 단기적으로 서비스를 이용하지 않을 목적이라면 "비활성화"를 추천드립니다. "비활성화" 시 과금되지 않으며 추후 간편하게 "활성화" 하실 수 있습니다.

5. 서비스 이용 해지

security-17-121-3 security-17-121-4

  • "상품 이용 해지" 기능을 통해 상품 이용을 해지할 수 있습니다.
  • 상품 이용 해지 시 설정된 모든 탐지 대상들은 일괄적으로 해제되며 더 이상 과금되지 않습니다.
  • Webshell Behavior Detector 서비스를 이용하며 설정, 생산, 저장한 모든 데이터가 삭제되며 webshell 공격 위험에 노출되므로 신중히 진행해 주세요.

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...