JP5410626B1 - ウェブシェル検知/対応システム - Google Patents

ウェブシェル検知/対応システム Download PDF

Info

Publication number
JP5410626B1
JP5410626B1 JP2013060408A JP2013060408A JP5410626B1 JP 5410626 B1 JP5410626 B1 JP 5410626B1 JP 2013060408 A JP2013060408 A JP 2013060408A JP 2013060408 A JP2013060408 A JP 2013060408A JP 5410626 B1 JP5410626 B1 JP 5410626B1
Authority
JP
Japan
Prior art keywords
web page
web
page configuration
target server
configuration content
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013060408A
Other languages
English (en)
Other versions
JP2014146307A (ja
Inventor
イ ジェ−ウ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SK Infosec Co Ltd
Original Assignee
Infosec Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infosec Co Ltd filed Critical Infosec Co Ltd
Application granted granted Critical
Publication of JP5410626B1 publication Critical patent/JP5410626B1/ja
Publication of JP2014146307A publication Critical patent/JP2014146307A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42DBOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
    • B42D5/00Sheets united without binding to form pads or blocks
    • B42D5/04Calendar blocks
    • B42D5/047Calendar blocks in which the calendar sheet or sheets are combined with other articles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B42BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
    • B42PINDEXING SCHEME RELATING TO BOOKS, FILING APPLIANCES OR THE LIKE
    • B42P2221/00Books or filing appliances with additional arrangements
    • B42P2221/02Books or filing appliances with additional arrangements with indicating means

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】ウェブシェル検知/対応システムを提供すること。
【解決手段】検知対象サーバにバイナリファイル( 二進化されたファイル)形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、検知対象サーバのウェブページホーム経路内に挿入される情報収集スクリプトを介して検知対象サーバから情報を収集し、収集された情報を利用して遠隔で検知対象サーバがウェブシェルに感染されたかどうかを判断できるようにしたものである。
【選択図】 図2

Description

本発明は、ウェブシェル(Webshell)検知技術に関し、特に検知対象サーバにバイナリファイル(二進化されたファイル)形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールしなくても、検知対象サーバのウェブシェルを手軽に検知できるウェブシェル検知/対応システムに関する。
ウェブシェルは、攻撃者が遠隔で侵入対象サーバに命令を行うことができるように作成したasp、php、jsp、cgiファイルなどのウェブスクリプト(Web Script)ファイルのことをいう。攻撃者は、ウェブシェルを利用して侵入対象サーバの管理者権限を獲得した後、侵入対象サーバのウェブページソースコード閲覧、侵入対象サーバ内のコンテンツなどの資料流出、バックドアプログラムのインストールなどの多様な攻撃をすることができる。最近では、ファイルアップロードだけでなく、SQLインジェクション(Injection)などのようなウェブ脆弱性を攻撃した後、侵入対象サーバをハッキングし続ける等、その類型が次第に巧妙化している。
韓国公開特許第10−2009−0088687号(特許文献1)において検知対象コンピュータにインストールされてウェブシェルシグナチャー分析を介して検知対象コンピュータがウェブシェルに感染されたかどうかを検知し、登録されないウェブシェルシグナチャーが発生した場合には、サーバからウェブシェルシグナチャーをアップデートするウェブシェル検知技術を提案している。
韓国公開特許第10−2009−0088687号(2009.08.20)
しかしながら、このような従来のウェブシェル検知技術は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールしてウェブシェルを検知しなければならなかったので、検知対象サーバでプロセシング(processing)している他のアプリケーションとの衝突可能性があり、ウェブシェル検知のための別途の管理人力が必要であり、ウェブシェルによる事故発生時にウェブシェルに対する専門的な知識不在で迅速な対応が難しいという問題があった。
そのため、本発明者は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールしなくても、検知対象サーバのウェブシェルを手軽に検知できるウェブシェル検知技術に対する研究を行うようになった。
本発明は、上記の課題を解決するためになされたものであって、その目的は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、検知対象サーバのウェブページホーム経路内に挿入される情報収集スクリプトを介して検知対象サーバから情報を収集し、収集された情報を利用して遠隔で検知対象サーバがウェブシェルに感染されたかどうかを判断できるウェブシェル検知/対応システムを提供することにある。
上記目的を達成すべく、本発明の一様相によれば、ウェブシェル検知/対応システムが検知対象サーバのウェブページホーム経路内に挿入されて、該当検知対象サーバから情報を収集する情報収集スクリプトとの連動を処理するスクリプト連動部と、検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報をデータベースに予め格納して管理するDB管理部と、前記スクリプト連動部により連動された情報収集スクリプトにより周期的または非周期的に収集される検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報と、前記DB管理部により格納された検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報とを比較して、変調されたウェブページ構成コンテンツを検索する情報分析部とを備えて構成されることを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムの情報分析部が、変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプトに要請して、検知対象サーバから変調されたウェブページ構成コンテンツファイルを受信することを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムの情報分析部が、検知対象サーバから受信された変調されたウェブページ構成コンテンツファイルに対するウェブシェル特徴パターン(Webshell Signature Pattern)分析を行って、該当検知対象サーバがウェブシェルに感染されたかどうかを検知することを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムが、前記情報分析部により検知対象サーバがウェブシェルに感染したと判断された場合、該当検知対象サーバ担当者に警告を行う対応管理部をさらに備えることを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムの対応管理部が、前記情報分析部により検知対象サーバがウェブシェルに感染されなかったと判断された場合、ウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデートを要請することを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムのDB管理部が、前記対応管理部からのウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデート要請に従って、前記変調されたウェブページ構成コンテンツの現在ハッシュ情報を該当ウェブページ構成コンテンツの無欠性ハッシュ情報としてデータベースに格納して、ウェブページ構成コンテンツの無欠性ハッシュ情報を更新することを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムのスクリプト連動部が、検知対象サーバのアクティブ状態または非アクティブ状態を検査し、該当検知対象サーバがアクティブ状態である場合に、前記情報分析部に変調されたウェブページ構成コンテンツ検索を要請することを特徴とする。
本発明の付加的な様相によれば、ウェブシェル検知/対応システムのスクリプト連動部が、前記検知対象サーバが非アクティブ状態である場合、該当検知対象サーバ接続失敗ログを格納することを特徴とする。
本発明の付加的な様相によれば、前記ハッシュ情報が、検知対象サーバ識別情報、ウェブページ構成コンテンツファイルのハッシュ値、ウェブページ構成コンテンツファイルが格納された経路深さ、ウェブページ構成コンテンツファイル名、ウェブページ構成コンテンツファイルが格納された経路名、ウェブページ構成コンテンツファイルの実行権限、ウェブページ構成コンテンツファイルの最終修正日、ウェブページ構成コンテンツファイルの登録日を含むことを特徴とする。
本発明の付加的な様相によれば、情報収集スクリプトが、ウェブシェル検知/対応システムと連動される装置連動部と、検知対象サーバのウェブページホーム経路内のすべてのウェブページ構成コンテンツファイルに対する現在ハッシュ情報を生成して、前記装置連動部により連動されたウェブシェル検知/対応システムに送信するハッシュ情報処理部と、前記装置連動部により連動されたウェブシェル検知/対応システムからの変調されたウェブページ構成コンテンツファイル送信要請に従って、検知対象サーバのウェブページホーム経路内の変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システムに送信するファイル処理部とを備えて構成されることを特徴とする。
本発明は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、遠隔で検知対象サーバから収集された情報を利用して、検知対象サーバがウェブシェルに感染されたかどうかを検知することによって、検知対象サーバでプロセシング(processing)中である他のアプリケーションとの衝突可能性が全くなく、検知対象サーバ運営側でウェブシェル検知のための別途の管理人力を必要とせず、検知対象サーバにウェブシェルによる事故発生時に遠隔でウェブシェルを統合管理する専門的な管理者により迅速な対応が可能であるという効果がある。
本発明に係るウェブシェル検知/対応システムが適用されたネットワーク概要図である。 本発明に係るウェブシェル検知/対応システムの一実施形態の構成を示すブロック図である。 検知対象サーバのウェブページホーム経路内に挿入されて、検知対象サーバから情報を収集する情報収集スクリプトの一実施形態の構成を示すブロック図である。 本発明に係るウェブシェル検知/対応システムのウェブシェル検知動作の一例を示すフローチャートである。
以下、本発明の好ましい実施の形態を添付した図面を参照して詳細に説明する。そして、本発明を説明するに当たって、関連した公知の機能又は構成についての具体的な説明が本発明の要旨を不明確にする恐れがあると判断される場合には、その詳細な説明を省略する。そして、後述する用語は、本発明での機能を考慮して定義された用語であり、これは、ユーザ、操作者の意図又は慣例などによって変わりうる。したがって、その定義は、本明細書全般にわたる内容に基づいて行わなければならない。
図1は、本発明に係るウェブシェル検知/対応システムが採用されたネットワーク概要図である。図1に示すように、本発明に係るウェブシェル検知/対応システム100は、インターネットを介して少なくとも一つの検知対象サーバ200と接続される。各検知対象サーバ200のウェブページホーム経路内には、情報収集スクリプト300が挿入されて、各検知対象サーバ200から情報を収集してウェブシェル検知/対応システム100に送信する。
ウェブシェル検知/対応システム100は、検知対象サーバ200のウェブページホーム経路内に挿入されて、該当検知対象サーバから情報を収集する情報収集スクリプト300により周期的または非周期的に収集される検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報と、予め格納されている検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報とを比較して、変調されたウェブページ構成コンテンツを検索する。
そして、ウェブシェル検知/対応システム100は、情報収集スクリプト300を介して検知対象サーバ200から変調されたウェブページ構成コンテンツファイルを受信し、変調されたウェブページ構成コンテンツファイルに対するウェブシェル特徴パターン分析を行って、該当検知対象サーバがウェブシェルに感染されたかどうかを検知する。
これにより、本発明は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、遠隔で検知対象サーバから収集された情報を利用して、検知対象サーバがウェブシェルに感染されたかどうかを検知することによって、検知対象サーバでプロセシング中である他のアプリケーションとの衝突可能性が全くなく、検知対象サーバ運営側でウェブシェル検知のための別途の管理人力を必要とせず、検知対象サーバにウェブシェルによる事故発生時に遠隔でウェブシェルを統合管理する専門的な管理者により迅速な対応が可能になる。
図2は、本発明に係るウェブシェル検知/対応システムの一実施形態の構成を示すブロック図である。図2に示すように、この実施の形態に係るウェブシェル検知/対応システム100は、スクリプト連動部110と、DB管理部120と、情報分析部130とを備えて構成される。
前記スクリプト連動部110は、検知対象サーバ200のウェブページホーム経路内に挿入されて、該当検知対象サーバから情報を収集する情報収集スクリプト300との連動を処理する。
例えば、前記スクリプト連動部110が周期的または非周期的に情報収集スクリプト300とソケット(Socket)通信を行って、ウェブシェル検知/対応システム100が情報収集スクリプト300と連動されるように実現することができる。情報収集スクリプト300の具体的な構成は後述する。
一方、スクリプト連動部110が検知対象サーバ200のアクティブまたは非アクティブ状態を検査し、該当検知対象サーバ200がアクティブ状態である場合に、情報分析部130に変調されたウェブページ構成コンテンツ検索を要請するように実現することができる。
仮に、前記検知対象サーバが非アクティブ状態である場合、前記スクリプト連動部110が該当検知対象サーバ接続失敗ログを格納するように実現することもできる。検知対象サーバ接続失敗ログには、検知対象サーバの識別情報、検知対象サーバのIPアドレス、接続試み日時などが記録されることができる。
前記DB管理部120は、検知対象サーバ200のウェブページ構成コンテンツの各々の無欠性ハッシュ情報をデータベースに予め格納して管理する。例えば、情報収集スクリプト300により検知対象サーバ200から最初情報を収集するとき、前記DB管理部120が該当検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報を検知対象サーバ200から受信してデータベースに格納することによって、検知対象サーバ200のウェブページ構成コンテンツの各々の無欠性ハッシュ情報がウェブシェル検知/対応システム100に登録されるように実現することができる。
前記情報分析部130は、前記スクリプト連動部110により連動された情報収集スクリプト300により周期的または非周期的に収集される検知対象サーバ200のウェブページ構成コンテンツの各々の現在ハッシュ情報と、前記DB管理部により格納された検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報とを比較して、変調されたウェブページ構成コンテンツを検索する。
このとき、前記無欠性ハッシュ情報及び情報収集スクリプト300により周期的または非周期的に収集される現在ハッシュ情報が検知対象サーバの暗号化プライベートキー(Private Key)などのような検知対象サーバ識別情報、ウェブページ構成コンテンツファイルを特定のハッシュ関数(Hash Function)のシード値として算出されたウェブページ構成コンテンツファイルのハッシュ値、ウェブページ構成コンテンツファイルが格納された経路深さ、ウェブページ構成コンテンツファイル名、ウェブページ構成コンテンツファイルが格納された経路名、ウェブページ構成コンテンツファイルの実行権限、ウェブページ構成コンテンツファイルの最終修正日、ウェブページ構成コンテンツファイルの登録日などを含むことができる。
すなわち、予め格納されている検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報と情報収集スクリプト300により周期的または非周期的に収集される検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報が互いに異なる検知対象サーバのウェブページ構成コンテンツは、変調されたコンテンツであるから、前記情報分析部130を介して変調されたウェブページ構成コンテンツを検索できる。
例えば、検知対象サーバのウェブページ構成コンテンツの無欠性ハッシュ情報と現在ハッシュ情報に含まれた検知対象サーバ識別情報とが互いに異なるか、ウェブページ構成コンテンツファイルのハッシュ値が互いに異なるか、ウェブページ構成コンテンツファイルが格納された経路深さが互いに異なるか、ウェブページ構成コンテンツファイル名が互いに異なるか、ウェブページ構成コンテンツファイルが格納された経路名が互いに異なるか、ウェブページ構成コンテンツファイルの実行権限が互いに異なるか、ウェブページ構成コンテンツファイルの最終修正日が互いに異なるか、又はウェブページ構成コンテンツファイルの登録日が互いに異なると判断される場合、前記情報分析部130が該当ウェブページ構成コンテンツを変調されたと判断できる。
一方、発明の付加的な様相によれば、前記情報分析部130が変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプト300に要請して、検知対象サーバ200から変調されたウェブページ構成コンテンツファイルを受信するように実現することができる。
変調されたウェブページ構成コンテンツが検索されると、変調されたウェブページ構成コンテンツが攻撃者により悪意的に追加または変更されたウェブシェル(Webshell)であるか、それともウェブシェルでなく正当に変更されたことであるかに対する分析が必要である。
このために、前記情報分析部130が変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプト300に要請すると、情報収集スクリプト300は、検知対象サーバ200から変調されたウェブページ構成コンテンツファイルを検索して、変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システム100に送信し、ウェブシェル検知/対応システム100は、情報分析部130を介して変調されたウェブページ構成コンテンツファイルを受信する。
一方、発明の付加的な様相によれば、前記情報分析部130が検知対象サーバ200から受信された変調されたウェブページ構成コンテンツファイルに対するウェブシェル特徴パターン分析を行って、該当検知対象サーバ200がウェブシェルに感染されたかどうかを検知するように実現することができる。
例えば、ウェブシェル検知/対応システム100が予めウェブシェル特徴パターンをデータベースに格納し、検知対象サーバ200から受信された変調されたウェブページ構成コンテンツファイルがデータベースに格納されたウェブシェル特徴パターンを含んでいるかどうかを検査して、該当検知対象サーバ200がウェブシェルに感染されたかどうかを検知するように実現することができる。
一方、発明の付加的な様相によれば、前記ウェブシェル検知/対応システム100が対応管理部140をさらに備えることができる。前記対応管理部140は、前記情報分析部130により検知対象サーバがウェブシェルに感染したと判断された場合、該当検知対象サーバ担当者に警告を行う。
例えば、前記対応管理部140が検知対象サーバ担当者の電子メール(PC及び携帯等)を介して該当検知対象サーバがウェブシェルに感染されたウェブページ構成コンテンツファイル名、ウェブシェル識別情報などを含むウェブシェル感染リポートを送信して、該当検知対象サーバがウェブシェルに感染されたことを通報するように実現することができる。
一方、発明の付加的な様相によれば、前記対応管理部140が前記情報分析部130により検知対象サーバがウェブシェルに感染されなかったと判断された場合、ウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデートを要請するように実現することができる。
そうすると、前記DB管理部120が前記対応管理部140からのウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデート要請に従って、前記変調されたウェブページ構成コンテンツの現在ハッシュ情報を該当ウェブページ構成コンテンツの無欠性ハッシュ情報としてデータベースに格納して、ウェブページ構成コンテンツの無欠性ハッシュ情報を更新する。
すなわち、この実施形態は、変調されたウェブページ構成コンテンツがウェブシェルに感染されずに正当に変調された場合、変調されたウェブページ構成コンテンツの無欠性ハッシュ情報が変更されるので、この変更されたウェブページ構成コンテンツの無欠性ハッシュ情報を該当ウェブページ構成コンテンツの新しい無欠性ハッシュ情報として更新するための実施形態である。
一方、発明の付加的な様相によれば、前記情報収集スクリプト300が変調されたウェブページ構成コンテンツファイルをエンコード(Encoding)して送信し、これを受信したウェブシェル検知/対応システム100の情報分析部130がエンコードされた変調されたウェブページ構成コンテンツファイルをデコード(Decoding)して、ウェブシェル感染有無を分析するように実現することもできる。
一方、発明の付加的な様相によれば、前記情報分析部130が変調されたウェブページ構成コンテンツファイルに対するウェブシェル特徴パターン分析の遂行結果として、ウェブシェル検知ログを格納するように実現することもできる。ウェブシェル検知ログには、検知対象サーバの識別情報、検知対象サーバのIPアドレス、分析日時などが記録されることができる。
一方、発明の付加的な様相によれば、ウェブシェル検知/対応システム100のスクリプト連動部110と、DB管理部120と、情報分析部130及び対応管理部140が物理的または論理的に一つのサーバ個体で実現することができ、その各々が物理的または論理的に分散される複数のサーバ個体で実現することもできる。
したがって、このように実現することによって、本発明は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、遠隔で検知対象サーバから収集された情報を利用して、検知対象サーバがウェブシェルに感染されたかどうかを検知することによって、検知対象サーバでプロセシング中である他のアプリケーションとの衝突可能性が全くなく、検知対象サーバ運営側でウェブシェル検知のための別途の管理人力を必要とせず、検知対象サーバにウェブシェルによる事故発生時に遠隔でウェブシェルを統合管理する専門的な管理者により迅速な対応が可能である。
図3は、検知対象サーバのウェブページホーム経路内に挿入されて検知対象サーバから情報を収集する情報収集スクリプトの一実施形態の構成を示すブロック図である。図3に示すように、情報収集スクリプト300は、装置連動部310と、ハッシュ情報処理部320と、ファイル処理部330とを備えて構成される。
前記装置連動部310は、ウェブシェル検知/対応システム100と連動される。例えば、前記装置連動部310がウェブシェル検知/対応システム100からの要請に従って、周期的または非周期的にウェブシェル検知/対応システム100とソケット(Socket)通信を行って、ウェブシェル検知/対応システム100と連動されるように実現することができる。
ソケット(Socket)通信は、ネットワークに接続されている2つのコンピュータの通信接点に位置する通信オブジェクトであるソケット(Socket)を生成し、このソケットを介して互いにデータを交換する方式であって、片方から送った信号を他方で受信すると接続が成立し、その後にデータをやり取りし、信頼性が保障されるIPプロトコルのTCPパケットまたは信頼性が保障されないIPプロトコルのUDPパケットを利用して、データをやりとりすることができる。
前記ハッシュ情報処理部320は、検知対象サーバ200のウェブページホーム経路内のすべてのウェブページ構成コンテンツファイルに対する現在ハッシュ情報を生成して、前記装置連動部により連動されたウェブシェル検知/対応システムに送信する。
例えば、現在ハッシュ情報が検知対象サーバ識別情報、ウェブページ構成コンテンツファイルのハッシュ値、ウェブページ構成コンテンツファイルが格納された経路深さ、ウェブページ構成コンテンツファイル名、ウェブページ構成コンテンツファイルが格納された経路名、ウェブページ構成コンテンツファイルの実行権限、ウェブページ構成コンテンツファイルの最終修正日、ウェブページ構成コンテンツファイルの登録日などを含むことができる。
前記ハッシュ情報処理部320は、検知対象サーバのウェブページホーム経路内のすべてのウェブページ構成コンテンツファイルに対するハッシュ値、格納された経路深さ、ファイル名、経路名、実行権限、最終修正日、登録日を把握し、これに該当検知対象サーバの識別情報を追加して検知対象サーバ200のウェブページ構成コンテンツファイルの各々に対する現在ハッシュ情報を生成する。
このとき、検知対象サーバ200のウェブページ構成コンテンツファイルの各々の現在ハッシュ情報が最初に生成された場合、この最初に生成されたウェブページ構成コンテンツファイルの各々の現在ハッシュ情報が検知対象サーバ200のウェブページ構成コンテンツの各々の無欠性ハッシュ情報になることができる。
前記ファイル処理部330は、前記装置連動部310により連動されたウェブシェル検知/対応システムからの変調されたウェブページ構成コンテンツファイル送信要請に従って、検知対象サーバ200のウェブページホーム経路内の変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システムに送信する。
上で説明したように、ウェブシェル検知/対応システム100により変調されたウェブページ構成コンテンツが検索されると、変調されたウェブページ構成コンテンツが攻撃者により悪意的に追加または変更されたウェブシェルであるか、それとも正当に変更されたことであるかに対する分析が必要となり、ウェブシェル検知/対応システム100は、情報分析部130を介して変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプト300に要請する。
そうすると、情報収集スクリプト300のファイル処理部330が検知対象サーバ200のウェブページホーム経路で変調されたウェブページ構成コンテンツファイルを検索し、変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システム100に送信する。そうすると、ウェブシェル検知/対応システム100は、情報分析部130を介して変調されたウェブページ構成コンテンツファイルを受信し、変調されたウェブページ構成コンテンツが攻撃者により悪意的に追加または変更されたウェブシェルであるか、それともウェブシェルではなく正当に変更されたことであるかに対する分析を行う。
以上で説明した本発明に係るウェブシェル検知/対応システムのウェブシェル検知の手順を図4を参照して述べる。図4は、本発明に係るウェブシェル検知/対応システムのウェブシェル検知動作の一例を示すフローチャートである。
説明に先立って、検知対象サーバのウェブページホーム経路内に該当検知対象サーバから情報を収集する情報収集スクリプトが挿入され、検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報及びウェブシェル特徴パターンが予めウェブシェル検知/対応システムに格納されたと仮定する。
まず、ステップ410にてウェブシェル検知/対応システムが周期的または非周期的に検知対象サーバから情報を収集する情報収集スクリプトと連動される。ウェブシェル検知/対応システムの情報収集スクリプト連動については既に説明したので、重なる説明は省略する。
前記ステップ410によりウェブシェル検知/対応システムと情報収集スクリプトとが連動されると、ステップ420にてウェブシェル検知/対応システムが情報収集スクリプトを介して検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報を受信する。検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報生成及び送信については既に説明したので、重複説明は省略する。
前記ステップ420により検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報が受信されると、ステップ430にてウェブシェル検知/対応システムが受信された検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報と、予め格納されている検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報とを比較して、変調されたウェブページ構成コンテンツを検索する。変調されたウェブページ構成コンテンツ検索については既に説明したので、重複説明は省略する。
前記ステップ430により変調されたウェブページ構成コンテンツファイルが検索されると、ステップ440にてウェブシェル検知/対応システムが変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプトに要請して受信する。
変調されたウェブページ構成コンテンツファイル送信要請に従って、情報収集スクリプトが検知対象サーバのウェブページホーム経路で変調されたウェブページ構成コンテンツファイルを検索し、変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システムに送信し、ウェブシェル検知/対応システムがこれを受信する。
変調されたウェブページ構成コンテンツファイルを受信したウェブシェル検知/対応システムは、ステップ450にて変調されたウェブページ構成コンテンツが攻撃者により悪意的に追加または変更されたウェブシェルであるか、それとも正当に変更されたことであるかに対する分析を行う。
このとき、変調されたウェブページ構成コンテンツファイルが予め格納されているウェブシェル特徴パターンを含んでいるかどうかを検索することにより、変調されたウェブページ構成コンテンツが攻撃者により悪意的に追加または変更されたウェブシェルであるか、それとも正当に変更されたことであるかを判断できる。
仮に、ステップ450による判断結果、検知対象サーバがウェブシェルに感染したと判断された場合には、ステップ460にてウェブシェル検知/対応システムが該当検知対象サーバ担当者に警告を行う。ウェブシェルに感染される際の警告遂行については既に説明したので、重複説明は省略する。
一方、ステップ450による判断結果、検知対象サーバがウェブシェルに感染されなかたっと判断された場合には、ステップ470にてウェブシェル検知/対応システムがウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデートを行う。ウェブページ構成コンテンツの無欠性ハッシュ情報アップデートについては既に説明したので、重複説明は省略する。
したがって、このように実現することによって、本発明は、検知対象サーバにバイナリファイル形態でコンパイルされた別途のウェブシェル検知アプリケーションをインストールせず、遠隔で検知対象サーバから収集された情報を利用して、検知対象サーバがウェブシェルに感染されたかどうかを検知することによって、検知対象サーバでプロセシング中である他のアプリケーションとの衝突可能性が全くなく、検知対象サーバ運営側でウェブシェル検知のための別途の管理人力を必要とせず、検知対象サーバにウェブシェルによる事故発生時に遠隔でウェブシェルを統合管理する専門的な管理者により迅速な対応が可能なので、上で提示した本発明の目的を達成することができる。
本発明は、添付された図面により参照される好ましい実施形態を中心に記述されたが、このような記載から後述する特許請求の範囲により包括される範囲内で本発明の範ちゅうを逸脱せずに多様な変形が可能であることは明らかである。
本発明は、ウェブシェル検知技術分野及びその応用技術分野において産業上利用可能である。

Claims (10)

  1. 検知対象サーバのウェブページホーム経路内にコンパイルされた二進化バイナリファイル形態ではなく、スクリプトファイル形態として挿入されて、該当検知対象サーバから情報を収集する情報収集スクリプトとの連動を処理するスクリプト連動部と、
    検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報をデータベースに予め格納して管理するDB管理部と、
    前記スクリプト連動部により連動された情報収集スクリプトにより周期的または非周期的に収集される検知対象サーバのウェブページ構成コンテンツの各々の現在ハッシュ情報と、前記DB管理部により格納された検知対象サーバのウェブページ構成コンテンツの各々の無欠性ハッシュ情報とを比較して、変調されたウェブページ構成コンテンツを検索する情報分析部と
    を備えて構成されることを特徴とするウェブシェル検知/対応システム。
  2. 前記情報分析部が、
    変調されたウェブページ構成コンテンツファイル送信を情報収集スクリプトに要請して、検知対象サーバから変調されたウェブページ構成コンテンツファイルを受信することを特徴とする請求項1に記載のウェブシェル検知/対応システム。
  3. 前記情報分析部が、
    検知対象サーバから受信された変調されたウェブページ構成コンテンツファイルに対するウェブシェル特徴パターン(Webshell Signature Pattern)分析を行って、該当検知対象サーバがウェブシェルに感染されたかどうかを検知することを特徴とする請求項2に記載のウェブシェル検知/対応システム。
  4. 前記ウェブシェル検知/対応システムが、
    前記情報分析部により検知対象サーバがウェブシェルに感染したと判断された場合、該当検知対象サーバ担当者に警告を行う対応管理部をさらに備えることを特徴とする請求項3に記載のウェブシェル検知/対応システム。
  5. 前記対応管理部が、
    前記情報分析部により検知対象サーバがウェブシェルに感染されなかったと判断された場合、ウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデートを要請することを特徴とする請求項4に記載のウェブシェル検知/対応システム。
  6. 前記DB管理部が、
    前記対応管理部からのウェブページ構成コンテンツの無欠性ハッシュ情報に対するアップデート要請に従って、前記変調されたウェブページ構成コンテンツの現在ハッシュ情報を該当ウェブページ構成コンテンツの無欠性ハッシュ情報としてデータベースに格納して、ウェブページ構成コンテンツの無欠性ハッシュ情報を更新することを特徴とする請求項5に記載のウェブシェル検知/対応システム。
  7. 前記スクリプト連動部が、
    検知対象サーバのアクティブ状態または非アクティブ状態を検査し、該当検知対象サーバがアクティブ状態である場合に、前記情報分析部に変調されたウェブページ構成コンテンツ検索を要請することを特徴とする請求項1に記載のウェブシェル検知/対応システム。
  8. 前記スクリプト連動部が、
    前記検知対象サーバが非アクティブ状態である場合、該当検知対象サーバ接続失敗ログを格納することを特徴とする請求項7に記載のウェブシェル検知/対応システム。
  9. 前記ハッシュ情報が、
    検知対象サーバ識別情報、ウェブページ構成コンテンツファイルのハッシュ値、ウェブページ構成コンテンツファイルが格納された経路深さ、ウェブページ構成コンテンツファイル名、ウェブページ構成コンテンツファイルが格納された経路名、ウェブページ構成コンテンツファイルの実行権限、ウェブページ構成コンテンツファイルの最終修正日、ウェブページ構成コンテンツファイルの登録日を含むことを特徴とする請求項1ないし8のうちの何れか1項に記載のウェブシェル検知/対応システム。
  10. 前記情報収集スクリプトが、
    ウェブシェル検知/対応システムと連動される装置連動部と、
    検知対象サーバのウェブページホーム経路内のすべてのウェブページ構成コンテンツファイルに対する現在ハッシュ情報を生成して、前記装置連動部により連動されたウェブシェル検知/対応システムに送信するハッシュ情報処理部と、
    前記装置連動部により連動されたウェブシェル検知/対応システムからの変調されたウェブページ構成コンテンツファイル送信要請に従って、検知対象サーバのウェブページホーム経路内の変調されたウェブページ構成コンテンツファイルをウェブシェル検知/対応システムに送信するファイル処理部と
    を備えて構成されることを特徴とする請求項1ないし8のうちの何れか1項に記載のウェブシェル検知/対応システム。
JP2013060408A 2013-01-28 2013-03-22 ウェブシェル検知/対応システム Active JP5410626B1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020130009330A KR101291782B1 (ko) 2013-01-28 2013-01-28 웹쉘 탐지/대응 시스템
KR10-2013-0009330 2013-01-28

Publications (2)

Publication Number Publication Date
JP5410626B1 true JP5410626B1 (ja) 2014-02-05
JP2014146307A JP2014146307A (ja) 2014-08-14

Family

ID=48998343

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013060408A Active JP5410626B1 (ja) 2013-01-28 2013-03-22 ウェブシェル検知/対応システム

Country Status (4)

Country Link
US (1) US8832834B2 (ja)
JP (1) JP5410626B1 (ja)
KR (1) KR101291782B1 (ja)
CN (1) CN103973664A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160003584A (ko) * 2015-12-11 2016-01-11 주식회사 윈스 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101585139B1 (ko) 2014-06-24 2016-01-13 에스케이인포섹(주) 정오탐 분석 기능을 구비한 웹쉘 탐지 장치 및 이의 정오탐 분석 방법
CN104394176B (zh) * 2014-12-17 2018-05-08 中国人民解放军国防科学技术大学 一种基于强制访问控制机制的webshell防范方法
CN105989284B (zh) * 2015-02-10 2019-01-11 阿里巴巴集团控股有限公司 网页入侵脚本特征的识别方法及设备
CN104796426B (zh) * 2015-04-29 2018-04-27 上海络安信息技术有限公司 网页后门的检测方法
CN106301974A (zh) * 2015-05-14 2017-01-04 阿里巴巴集团控股有限公司 一种网站后门检测方法和装置
CN105100065B (zh) * 2015-06-26 2018-03-16 北京奇安信科技有限公司 基于云的webshell攻击检测方法、装置及网关
CN106911686B (zh) * 2017-02-20 2020-07-07 杭州迪普科技股份有限公司 WebShell检测方法及装置
CN107196929A (zh) * 2017-05-11 2017-09-22 国网山东省电力公司信息通信公司 适用于高频次网络攻防环境下的智能防护方法及其系统
CN107566371B (zh) * 2017-09-05 2020-08-18 成都知道创宇信息技术有限公司 一种面向海量日志的WebShell挖掘方法
CN107612925A (zh) * 2017-10-12 2018-01-19 成都知道创宇信息技术有限公司 一种基于访问行为特征的WebShell挖掘方法
KR102092411B1 (ko) * 2017-10-31 2020-03-23 대한민국 실시간 웹공격 탐지방법
CN107911355B (zh) * 2017-11-07 2020-05-01 杭州安恒信息技术股份有限公司 一种基于攻击链的网站后门利用事件识别方法
CN108040036A (zh) * 2017-11-22 2018-05-15 江苏翼企云通信科技有限公司 一种行业云Webshell安全防护方法
KR101865378B1 (ko) * 2018-01-31 2018-06-07 주식회사 에프원시큐리티 웹 쉘 탐지 시스템
US11797670B2 (en) * 2018-05-21 2023-10-24 Nippon Telegraph And Telephone Corporation Determination method, determination device and recording medium
CN109040071B (zh) * 2018-08-06 2021-02-09 杭州安恒信息技术股份有限公司 一种web后门攻击事件的确认方法
CN110798439B (zh) * 2018-09-04 2022-04-19 国家计算机网络与信息安全管理中心 主动探测物联网僵尸网络木马的方法、设备及存储介质
CN110427755A (zh) * 2018-10-16 2019-11-08 新华三信息安全技术有限公司 一种识别脚本文件的方法及装置
CN110892377A (zh) * 2018-12-27 2020-03-17 思杰系统有限公司 用于开发Web产品的系统和方法
CN109743311B (zh) * 2018-12-28 2021-10-22 绿盟科技集团股份有限公司 一种WebShell检测方法、装置及存储介质
CN110162973B (zh) * 2019-05-24 2021-04-09 新华三信息安全技术有限公司 一种Webshell文件检测方法及装置
KR102382889B1 (ko) * 2019-11-28 2022-04-05 네이버클라우드 주식회사 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
WO2021223177A1 (zh) * 2020-05-07 2021-11-11 深圳市欢太科技有限公司 异常文件检测方法及相关产品
CN113806742A (zh) * 2020-06-15 2021-12-17 中国电信股份有限公司 WebShell检测装置、WebShell检测方法及计算机可读存储介质
US10933251B1 (en) 2020-06-17 2021-03-02 Jonathan M Borkum System for noninvasive pulsed magnetic induction heating of acupoints for the neurorehabilitation of stroke and brain injury, and for the prevention and treatment of dementia, age-related cognitive decline, and depression
CN112118089B (zh) * 2020-09-18 2021-04-30 广州锦行网络科技有限公司 一种webshell监控方法及系统
CN112668005A (zh) * 2020-12-30 2021-04-16 北京天融信网络安全技术有限公司 webshell文件的检测方法及装置
CN113225357B (zh) * 2021-07-08 2021-09-17 北京搜狐新媒体信息技术有限公司 一种网页后门的取证方法和相关装置
CN114329462A (zh) * 2021-11-22 2022-04-12 网宿科技股份有限公司 恶意文件检测方法、装置、设备及可读存储介质
CN115174197B (zh) * 2022-07-01 2024-03-29 阿里云计算有限公司 webshell文件的检测方法、系统、电子设备及计算机存储介质
US20240037247A1 (en) * 2022-07-29 2024-02-01 Apomaya Dba Lokker Systems, methods, and graphical user interface for browser data protection

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331374A (ja) * 2000-05-24 2001-11-30 Ntt Comware Corp ホームページ改ざん検出方法および装置
KR20090088687A (ko) * 2008-02-15 2009-08-20 한국정보보호진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
JP2009169490A (ja) * 2008-01-11 2009-07-30 Fuji Xerox Co Ltd ユーザ属性情報管理プログラム、ユーザ属性情報確認プログラム、ユーザ属性情報管理装置、ユーザ属性情報確認装置及びユーザ属性情報管理システム
CN101626368A (zh) * 2008-07-11 2010-01-13 中联绿盟信息技术(北京)有限公司 一种防止网页被篡改的设备、方法和系统
KR101138988B1 (ko) * 2009-10-26 2012-04-25 미라클워터 주식회사 자연친화적으로 설계된 초기우수 처리장치
CN102546576B (zh) * 2010-12-31 2015-11-18 北京启明星辰信息技术股份有限公司 一种网页挂马检测和防护方法、系统及相应代码提取方法
KR20130008119A (ko) * 2011-07-11 2013-01-22 주식회사 잉카인터넷 파일 변조 검출방법
CN102546253A (zh) * 2012-01-05 2012-07-04 中国联合网络通信集团有限公司 网页防篡改方法、系统和管理服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001331374A (ja) * 2000-05-24 2001-11-30 Ntt Comware Corp ホームページ改ざん検出方法および装置
KR20090088687A (ko) * 2008-02-15 2009-08-20 한국정보보호진흥원 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
KR101080953B1 (ko) * 2011-05-13 2011-11-08 (주)유엠브이기술 실시간 웹쉘 탐지 및 방어 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160003584A (ko) * 2015-12-11 2016-01-11 주식회사 윈스 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법

Also Published As

Publication number Publication date
US8832834B2 (en) 2014-09-09
US20140215619A1 (en) 2014-07-31
CN103973664A (zh) 2014-08-06
KR101291782B1 (ko) 2013-07-31
JP2014146307A (ja) 2014-08-14

Similar Documents

Publication Publication Date Title
JP5410626B1 (ja) ウェブシェル検知/対応システム
US10348756B2 (en) System and method for assessing vulnerability of a mobile device
EP3731123B1 (en) Deception-based responses to security attacks
CA2966408C (en) A system and method for network intrusion detection of covert channels based on off-line network traffic
US8863288B1 (en) Detecting malicious software
US10567410B2 (en) Determining the maliciousness of executable files using a remote sandbox environment
CN103294950B (zh) 一种基于反向追踪的高威窃密恶意代码检测方法及系统
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
US8429180B1 (en) Cooperative identification of malicious remote objects
US10581880B2 (en) System and method for generating rules for attack detection feedback system
US8051484B2 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
CN102111267A (zh) 一种基于数字签名的网站安全保护方法及系统
CN101908116B (zh) 一种计算机防护系统及方法
CN110417718B (zh) 处理网站中的风险数据的方法、装置、设备及存储介质
US9374381B2 (en) System and method for real-time malware detection based on web browser plugin
CN114024773B (zh) 一种webshell文件检测方法及系统
Leita et al. Exploiting diverse observation perspectives to get insights on the malware landscape
CN103561076B (zh) 一种基于云的网页挂马实时防护方法及系统
JP2013152497A (ja) ブラックリスト抽出装置、抽出方法および抽出プログラム
US20170054742A1 (en) Information processing apparatus, information processing method, and computer readable medium
KR20130116418A (ko) Ip 평판 분석 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
KR20080070793A (ko) 안티 파밍 방법
KR20130028257A (ko) 미식별 멀웨어를 탐지하기 위한 정보를 제공하는 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
Kolokotronis et al. Cyber-trust: The shield for IoT cyber-attacks
Jain et al. C2Store: C2 Server Profiles at Your Fingertips

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20131106

R150 Certificate of patent or registration of utility model

Ref document number: 5410626

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250