KR102382889B1 - 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 - Google Patents

프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 Download PDF

Info

Publication number
KR102382889B1
KR102382889B1 KR1020190155720A KR20190155720A KR102382889B1 KR 102382889 B1 KR102382889 B1 KR 102382889B1 KR 1020190155720 A KR1020190155720 A KR 1020190155720A KR 20190155720 A KR20190155720 A KR 20190155720A KR 102382889 B1 KR102382889 B1 KR 102382889B1
Authority
KR
South Korea
Prior art keywords
executed
web
command
information
server
Prior art date
Application number
KR1020190155720A
Other languages
English (en)
Other versions
KR20210066460A (ko
Inventor
안준
강봉구
Original Assignee
네이버클라우드 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버클라우드 주식회사 filed Critical 네이버클라우드 주식회사
Priority to KR1020190155720A priority Critical patent/KR102382889B1/ko
Priority to TW109140281A priority patent/TWI817062B/zh
Priority to US17/104,589 priority patent/US11388182B2/en
Priority to JP2020197137A priority patent/JP7049432B2/ja
Publication of KR20210066460A publication Critical patent/KR20210066460A/ko
Application granted granted Critical
Publication of KR102382889B1 publication Critical patent/KR102382889B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3017Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Multi-Process Working Machines And Systems (AREA)
  • General Factory Administration (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 수집하고, 수집된 프로세스 정보에 기반하여, 해당 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정함으로써, 웹쉘을 탐지하는 웹쉘 탐지 방법이 제공된다.

Description

프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템{METHOD AND SYSTEM FOR DETECTING WEB SHELL USING PROCESS INFORMATION}
본 개시는 웹 서비스를 제공하는 서버를 공격하는 웹쉘을 탐지하는 방법 및 시스템에 관한 것으로, 보다 자세하게는, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 실행 정보에 기반하여 웹쉘을 탐지하는 방법 및 시스템과 관련된다.
웹쉘(web shell)은 악의적인 사용자가 서버의 업로드 취약점을 이용하여 서버에 대해 명령을 내릴 수 있도록 하는 코드를 의미한다. 웹쉘은 서버 스크립트 (jsp, php, asp 등)을 통해 생성될 수 있고, 이러한 스크립트는 서버의 취약점을 통해 업로드된다. 해커와 같은 악의적인 사용자는 웹쉘을 통해 서버의 보안 시스템을 회피하여 별도의 인증없이 서버에 접속할 수 있고 서버에 대해 명령을 내릴 수 있다.
이러한 웹쉘의 경우 서버에 업로드되면 매우 위험하기 때문에, 신속하게 탐지될 필요가 있다. 따라서, 서버에 대한 부하를 최소화하면서, 웹쉘에 해당하는 파일이 암호화되거나 난독화된 경우에 있어서도 신속하고 정확하게 웹쉘을 탐지해 낼 수 있도록 하는 방법 및 시스템이 요구된다.
한편, 한국등록특허 제10-0655492호(등록일 2006년 12월 01일)에는 검색엔진을 이용한 웹서버 취약점 점검 시스템 및 방법에 관한 기술이 개시되어 있다.
상기에서 설명된 정보는 단지 이해를 돕기 위한 것이며, 종래 기술의 일부를 형성하지 않는 내용을 포함할 수 있으며, 종래 기술이 통상의 기술자에게 제시할 수 있는 것을 포함하지 않을 수 있다.
일 실시예는, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 수집하고, 수집된 프로세스 정보에 기반하여, 해당 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정함으로써, 웹쉘을 탐지하는 웹쉘 탐지 방법 및 웹쉘을 탐지하기 위한 컴퓨터 시스템을 제공할 수 있다.
일 실시예는, 실행 중인 프로세스에 대한 프로세스 정보에 대응하는 데이터 세트가 일반적으로 사용되지 않는 명령어를 사용하는 것과 같은 기 설정된 패턴을 포함하는 경우, 해당 프로세스를 웹쉘에 의해 실행된 것으로 판정함으로써 서버 내의 파일의 내용을 분석하지 않고도 웹쉘을 실시간으로 정확하게 탐지해 낼 수 있는 방법을 제공할 수 있다.
일 측면에 있어서, 컴퓨터 시스템에 의해 수행되는 웹쉘 탐지 방법에 있어서, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 수집하는 단계 및 상기 수집된 프로세스 정보에 기반하여, 상기 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하는 단계를 포함하는 웹쉘 탐지 방법이 제공된다.
상기 웹쉘 탐지 방법은, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정되면, 상기 서버의 관리자에게 웹쉘이 탐지되었음을 통지하는 단계를 더 포함할 수 있다.
상기 수집하는 단계는, 상기 수집된 프로세스 정보에 기반하여 상기 프로세스에 대한 데이터 세트를 생성하는 단계를 포함하고, 상기 판정하는 단계는, 상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하는 단계를 포함하고, 상기 생성된 데이터 세트가 기 설정된 패턴을 포함하면, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정할 수 있다.
상기 수집하는 단계는, 상기 프로세스에 대한 프로세스 ID(PID)를 수집하는 단계 및 상기 수집된 PID에 기반하여 상기 프로세스에 대한 추가 프로세스 정보를 수집하는 단계를 포함하고, 상기 추가 프로세스 정보는 상기 프로세스의 이름, 상기 프로세스와 연관하여 실행되는 명령어(cmdline), 상기 프로세스를 실행한 시스템 계정 정보, 상기 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID), 상기 부모 프로세스의 이름, 상기 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 상기 부모 프로세스를 실행한 시스템 계정 정보 중 적어도 하나를 포함하고, 상기 데이터 세트는 상기 PID 및 상기 추가 프로세스 정보를 포함할 수 있다.
상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하는 단계는, 상기 프로세스를 실행한 시스템 계정 정보(owner)가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하는지 또는 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인지 여부를 판정하는 단계 및 상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하거나 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는지 여부를 판정하는 단계를 포함할 수 있다.
상기 판정하는 단계는, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정된 경우, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정할 수 있다.
상기 비일반 명령어는, 기 설정된 비일반 명령어로서, ps, ls, cd, cat 및 find 중 적어도 하나를 포함할 수 있다.
상기 프로세스와 연관하여 실행되는 명령어가 기 설정된 일반 명령어 외의 명령어를 포함하는 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정될 수 있다.
상기 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것으로 판정될 수 있다.
상기 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 아파치(apache) 또는 노바디(nobody)이면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것으로 판정될 수 있다.
상기 생성된 데이터 세트는 대기 큐(queue)에 추가되고, 상기 대기 큐에 추가된 데이터 세트에 대해, 순차적으로, 상기 추가된 데이터 세트가 상기 기 설정된 패턴을 포함하는지 여부가 판정될 수 있다.
상기 추가 프로세스 정보는 상기 프로세스의 이름, 상기 프로세스와 연관하여 실행되는 명령어(cmdline), 상기 프로세스를 실행한 시스템 계정 정보, 상기 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID), 상기 부모 프로세스의 이름, 상기 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 상기 부모 프로세스를 실행한 시스템 계정 정보 중 적어도 2개를 포함하고, 상기 기 설정된 패턴은 상기 추가 프로세스 정보에 대한 기 설정된 패턴일 수 있다.
다른 일 측면에 있어서, 웹쉘을 탐지하는 컴퓨터 시스템에 있어서, 컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 수집하고, 상기 수집된 프로세스 정보에 기반하여, 상기 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하는, 컴퓨터 시스템이 제공된다.
상기 컴퓨터 시스템은 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정되면, 상기 서버의 관리자에게 웹쉘이 탐지되었음을 통지하는 통지부를 더 포함할 수 있다.
상기 적어도 하나의 프로세서는, 상기 수집된 정보에 기반하여 상기 프로세스에 대한 데이터 세트를 생성하고, 상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하고, 상기 생성된 데이터 세트가 기 설정된 패턴을 포함하면, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정할 수 있다.
상기 적어도 하나의 프로세서는, 상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보(owner)와 일치하는지 또는 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인지 여부를 판정하고, 상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하거나 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는지 여부를 판정하고, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정된 경우, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정할 수 있다.
실행 중인 프로세스에 대해 수집된 프로세스 정보를 이용하여 웹쉘을 탐지함으로써, 서버 내의 파일의 내용을 분석하지 않고도 웹쉘을 실시간으로 정확하게 탐지해 낼 수 있고, 서버에 대한 부하를 최소화할 수 있다.
웹쉘에 해당하는 파일의 내용이 아닌 웹쉘에 의해 실행되는 프로세스의 행위에 기반하여 웹쉘이 탐지됨으로써 웹쉘에 해당하는 파일이 암호화 또는 난독화되거나, 그 내용이 변경되는 경우에도, 웹쉘이 정확하게 탐지될 수 있다.
도 1은 일 실시예에 따른, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘을 탐지하는 방법을 나타낸다.
도 2는 일 실시예에 따른, 웹쉘을 탐지하는 컴퓨터 시스템, 웹 서비스를 제공하는 서버 및 웹 서비스를 제공하는 서버를 관리하는 관리자 단말을 나타낸다.
도 3은 일 실시예에 따른, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘을 탐지하는 방법을 나타내는 흐름도이다.
도 4는 일 예에 따른, 프로세스 정보가 포함하는 패턴에 따라 해당 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하는 방법을 나타내는 흐름도이다.
도 5는 일 예에 따른, 프로세스에 대한 프로세스 정보를 실시간으로 수집하는 방법과, 수집된 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법을 나타내는 흐름도이다.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 일 실시예에 따른, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘을 탐지하는 방법을 나타낸다.
도 1에서는 웹 서비스를 제공하는 서버(웹 서비스 제공 서버)(110) 및 서버(110)를 관리하는 관리자(관리자가 사용하는 관리자 단말)(130)와, 서버(110)를 공격하는 웹쉘(120)을 탐지하는 컴퓨터 시스템(웹쉘 탐지 시스템)(100)의 동작이 도시되었다.
서버(110)는 웹 서비스를 제공하는 웹 서버일 수 있다. 웹쉘(120)은 해커와 같은 악의적인 사용자가 서버(110)의 취약점을 이용하여 서버(110)에 대해 명령을 내릴 수 있도록 하는 코드를 의미할 수 있다. 컴퓨터 시스템(100)은 이러한 서버(110)에 업로드되어 있는 웹쉘(120)을 탐지하기 위한 장치일 수 있다.
컴퓨터 시스템(100)은 웹 서비스를 제공하는 서버(110)에서 실행 중인 프로세스(들)에 대한 프로세스 정보(즉, 프로세스의 실행과 관련된 정보)를 수집할 수 있고, 수집된 프로세스 정보에 기반하여, 서버(110)에 웹쉘(120)이 존재하는지 여부를 탐지해 낼 수 있다. 또한, 컴퓨터 시스템(100)은 웹쉘(120)이 탐지된 경우, 웹쉘(120)이 탐지된 사실을 서버(110)의 관리자(130)에게 통지할 수 있다.
기존에는, 웹쉘(120)을 탐지하기 위해서는, 웹쉘(120) 내에 특정한 문자열이 포함되는지 여부를 검색하였다. 예컨대, 패킷 내에서 특정한 문자열이 검출되는 경우를 검색하였다. 또는, 웹쉘(120)을 탐지하기 위해 패킷 내에서 중요한 정보가 빠져 나가는지 여부를 확인해야 할 필요가 있었다.
이러한 경우에는 서버(110) 내의 모든 파일을 대상으로 문자열 검색이 이루어져야 하므로 서버(110) 측의 부하가 증가하게 된다. 실시예에서는, 파일 내의 문자열을 검색하여 웹쉘(120)을 탐지하는 것이 아니라, 실행된 프로세스에 대한 프로세스 정보에 기반하여 웹쉘(120)을 탐지하는 바 서버(110) 측의 부하를 저감할 수 있다.
또한, 기존에는 파일 내 문자열의 검색을 수행함에 있어서 요구되는 서버(110)의 부하 부담을 고려하여, 웹쉘(120)의 탐지는 긴 주기를 가지고만 진행될 수 있었다. 그러나, 실시예에서는, 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘(120)을 탐지하는 바 실시간으로 웹쉘(120)을 탐지해 낼 수 있다.
또한, 실시예를 통해서는, 웹쉘(120)에 대응하는 파일이 암호화 하거나 난독화된 경우에도, 웹쉘(120)에 대응하는 파일의 내용을 확인할 필요 없이, 실행 중인 프로세스에 대한 프로세스 정보(즉, 프로세스의 행위)에 기반하여 웹쉘(120)을 탐지할 수 있다.
또한, 실시예를 통해서는, 웹쉘(120)에 대응하는 파일의 내용을 확인할 필요가 없으므로, 웹쉘(120)에 대응하는 파일의 문자열이 바뀐(즉, 문자열의 패턴이 바뀐) 신규한 웹쉘(120)에 대해서도 즉각적이고 정확한 탐지가 가능하게 될 수 있다.
또한, 기존에는 신규한 웹쉘(120)을 탐지하기 위해서는, 1) 탐지하고자 하는 웹쉘(120)을 확보해야 하고, 2) 확보한 웹쉘(120)을 분석해야 하고, 3) 분석된 정보를 토대로 해당 웹쉘(120)에 대한 패턴을 생성한 후, 4) 제품에 이를 반영(업데이트)해야 비로소 웹쉘(120)에 대한 탐지가 가능하게 되므로, 신규한 웹쉘(120)을 탐지하기까지 오랜 시간이 소요될 수 있다. 이에 반해, 실시예에서는 실시간으로 수집한 프로세스에 대한 프로세스 정보(프로세스 실행 정보)를 사용하여 웹쉘(120)을 탐지할 수 있으므로, 신규한 웹쉘(120)에 대해서도 즉각적이고 정확한 탐지가 가능하게 될 수 있다.
컴퓨터 시스템(100)이 서버(110)에서 실행 중인 프로세스(들)에 대한 프로세스 정보를 수집하는 구체적인 방법과, 수집된 프로세스 정보에 기반하여 웹쉘(120)을 탐지하는 구체적인 방법에 대해서는 후술될 도 2 내지 도 5를 참조하여 더 자세하게 설명된다.
도 2는 일 실시예에 따른, 웹쉘을 탐지하는 컴퓨터 시스템, 웹 서비스를 제공하는 서버 및 웹 서비스를 제공하는 서버를 관리하는 관리자 단말을 나타낸다.
도 2에서는 도 1을 참조하여 전술된 웹 서비스를 제공하는 서버 (110) 및 서버(110)를 관리하는 관리자의 관리자 단말(130)와, 서버(110)를 공격하는 웹쉘(120)을 탐지하는 컴퓨터 시스템(100)이 도시되었다.
서버(110)는 적어도 하나의 웹 서비스를 제공하는 웹 서버일 수 있다. 웹 서비스는 도시되지 않은 클라이언트의 요청 또는 클라이언트로부터의 접속에 따라 클라이언트 측에 제공되는 웹 기반의 서비스일 수 있다. 서버(110)는 적어도 하나의 컴퓨팅 장치로 구현될 수 있다.
서버(110)는 관리자 단말(130)을 통해 관리자에 의해 관리될 수 있다. 관리자는 서버(110)의 운영 및 보안을 담당하는 담당자일 수 있다. 관리자 단말(130)은 관리자가 서버(110)를 운영 및 관리하기 위해 사용하는 사용자 단말(130)일 수 있다. 예컨대, 관리자 단말(130)은 예컨대, 스마트 폰, PC(personal computer), 노트북 컴퓨터(laptop computer), 태블릿(tablet), 사물 인터넷(Internet Of Things) 기기, 또는 웨어러블 컴퓨터(wearable computer) 등의 장치이거나, 기타 서버(110)에 부수하는 컴퓨팅 장치 또는 서버(110)의 일부일 수 있다.
컴퓨터 시스템(100)은 서버(110)를 공격하거나 서버(110)의 보안에 위협이 되는 웹쉘(120)을 탐지하는 장치일 수 있다. 컴퓨터 시스템(100)은 적어도 하나의 컴퓨팅 장치로 구현될 수 있다. 컴퓨터 시스템(100)은 서버(110)와는 별개의(즉, 서버(110) 외부의) 컴퓨팅 장치 또는 서버로 구현될 수 있고, 또는, 도시된 것과는 달리, 서버(110)의 일부로서 구현될 수도 있다. 말하자면, 컴퓨터 시스템(100)은 서버(110)에 포함되는 장치일 수 있다.
컴퓨터 시스템(100)은 웹 서비스를 제공하는 서버(110)에서 실행 중인 프로세스(들)에 대해(즉, 각각의 프로세스에 대한) 프로세스 정보를 수집할 수 있다. 프로세스 정보는 프로세스의 실행과 관련된 정보를 포함할 수 있다. 컴퓨터 시스템(100)은 이러한 수집된 프로세스 정보를 사용하여, 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정함으로써, 웹쉘(120)을 탐지할 수 있다.
컴퓨터 시스템(100)은 적어도 하나의 컴퓨팅 장치를 포함할 수 있다.
컴퓨터 시스템(100)은 도시된 것처럼, 메모리(230), 프로세서(220), 통신부(210) 및 입출력 인터페이스(240)를 포함할 수 있다.
메모리(230)는 컴퓨터에서 판독 가능한 기록매체로서, RAM(random access memory), ROM(read only memory) 및 디스크 드라이브와 같은 비소멸성 대용량 기록장치(permanent mass storage device)를 포함할 수 있다. 여기서 ROM과 비소멸성 대용량 기록장치는 메모리(230)와 분리되어 별도의 영구 저장 장치로서 포함될 수도 있다. 또한, 메모리(230)에는 운영체제와 적어도 하나의 프로그램 코드가 저장될 수 있다. 이러한 소프트웨어 구성요소들은 메모리(230)와는 별도의 컴퓨터에서 판독 가능한 기록매체로부터 로딩될 수 있다. 이러한 별도의 컴퓨터에서 판독 가능한 기록매체는 플로피 드라이브, 디스크, 테이프, DVD/CD-ROM 드라이브, 메모리 카드 등의 컴퓨터에서 판독 가능한 기록매체를 포함할 수 있다. 다른 실시예에서 소프트웨어 구성요소들은 컴퓨터에서 판독 가능한 기록매체가 아닌 통신부(210)를 통해 메모리(230)에 로딩될 수도 있다.
프로세서(220)는 기본적인 산술, 로직 및 입출력 연산을 수행함으로써, 컴퓨터 프로그램의 명령을 처리하도록 구성될 수 있다. 명령은 메모리(230) 또는 통신부(210)에 의해 프로세서(220)로 제공될 수 있다. 예를 들어, 프로세서(220)는 메모리(230)에 로딩된 프로그램 코드에 따라 수신되는 명령을 실행하도록 구성될 수 있다. 이러한 프로세서(220)에 의한 동작에 의해 컴퓨터 시스템(100)은 웹 서비스를 제공하는 서버(110)에서 실행 중인 프로세스에 대한 프로세스 정보를 수집할 수 있고, 수집된 프로세스 정보를 사용하여, 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정할 수 있다.
프로세스 정보의 수집 및 웹쉘(120)의 탐지를 수행하기 위한, 도시되지 않은 프로세서(220)의 구성들 각각은 프로세서(220)의 일부로서 소프트웨어 및/또는 하드웨어 모듈로 구현될 수 있고, 프로세서에 의해 구현되는 기능(기능 블록)을 나타낼 수 있다.
통신부(210)는 컴퓨터 시스템(100)이 다른 장치(예컨대, 서버(110), 관리자 단말(130) 또는, 다른 서버나 기타 사용자 단말 등)와 통신하기 위한 구성일 수 있다. 말하자면, 통신부(210)는 다른 장치에 대해 데이터 및/또는 정보를 전송/수신하는, 컴퓨터 시스템(100)의 안테나, 데이터 버스, 네트워크 인터페이스 카드, 네트워크 인터페이스 칩 및 네트워킹 인터페이스 포트 등과 같은 하드웨어 모듈 또는 네트워크 디바이스 드라이버(driver) 또는 네트워킹 프로그램과 같은 소프트웨어 모듈일 수 있다.
통신부(210)는 프로세스 정보에 의해, 프로세스가 웹쉘(120)에 의해 실행된 것으로 판정된 경우, 서버(110)의 관리자(즉, 관리자 단말(130))에게 웹쉘(120)이 탐지되었음을 통지하기 위한 통지부를 포함할 수 있다.
입출력 인터페이스(240)는 키보드 또는 마우스 등과 같은 입력 장치 및 디스플레이나 스피커와 같은 출력 장치와의 인터페이스를 위한 수단일 수 있다. 컴퓨터 시스템(100)은 실시예에 따라 이러한 입출력 인터페이스(240)를 포함하지 않을 수도 있다.
또한, 실시예들에 따라 컴퓨터 시스템(100)은 도시된 구성요소들보다 더 많은 구성요소들을 포함할 수도 있다.
이상 도 1을 참조하여 전술된 기술적 특징에 대한 설명은, 도 2에 대해서도 그대로 적용될 수 있으므로 중복되는 설명은 생략한다.
후술될 상세한 설명에서, 컴퓨터 시스템(100)의 구성들(예컨대, 프로세스(220))에 의해 수행되는 동작은 설명의 편의상 컴퓨터 시스템(100)에 의해 수행되는 동작으로 설명될 수 있다.
또한, 전술된 것처럼, 컴퓨터 시스템(100)은 서버(110)의 일부로서 구현될 수 있는 바, 컴퓨터 시스템(100) 또는 컴퓨터 시스템(100)의 구성들 의해 수행되는 동작은 서버(110)에 의해 수행될 수도 있다. 이에 관해서는 중복되는 설명은 생략한다.
도 3은 일 실시예에 따른, 웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘을 탐지하는 방법을 나타내는 흐름도이다.
단계(310)에서, 컴퓨터 시스템(100)은 웹 서비스를 제공하는 서버(110)에서 실행 중인 프로세스에 대한 프로세스 정보를 수집할 수 있다. 서버(110)가 복수의 프로세스들을 실행하고 있는 경우, 컴퓨터 시스템(100)은 프로세스들의 각각에 대한 프로세스 정보를 수집할 수 있다. 프로세스 정보는 프로세스의 실행과 관련된 정보로서 프로세스 실행 정보로 명명될 수 있다.
단계(310)에서의 프로세스 정보의 수집은 프로세스 노티파이(process nofify)를 사용하여 수행될 수 있다. 이러한 프로세스 정보의 수집은 서버(110)의 운영을 위해 프로세스 정보를 수집하거나, 바이러스 탐지를 위해 프로세스 정보를 수집하는 것에 해당할 수 있다. 따라서, 실시예의 웹쉘(120) 탐지는 서버(110)의 운영을 위한 프로세스 정보의 수집 또는 바이러스 탐지를 위한 프로세스 정보의 수집을 통해서도 수행될 수 있다.
단계(320)에서, 컴퓨터 시스템(100)은 수집된 프로세스 정보에 기반하여, 수집된 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정할 수 있다. 수집된 프로세스와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것으로 판정함으로써, 컴퓨터 시스템(100)은 웹쉘(120)을 탐지할 수 있다. 따라서, 컴퓨터 시스템(100)은 웹쉘(120)에 해당하는 파일의 내용이나 서버(110)에 저장된 파일의 문자열을 확인하지 않고도 웹쉘(120)을 탐지할 수 있다. 또한, 컴퓨터 시스템(100)은 웹쉘(120)에 해당하는 파일의 암호화/난독화/변경에 관계 없이 웹쉘(120)을 정확하게 탐지해 낼 수 있다. 또한, 컴퓨터 시스템(100)은 실행 중인 프로세스에 대한 프로세스 정보에 기반하여 웹쉘(120)을 탐지해 냄으로써 웹쉘(120)을 실시간으로 탐지해 낼 수 있다.
단계(330)에서, 컴퓨터 시스템(100)은 수집된 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것으로 판정되면, 서버(110)의 관리자(즉, 관리자 단말(130))에게 웹쉘(120)이 탐지되었음을 통지할 수 있다. 이러한 통지에 의해 서버(110)의 관리자는 서버(110)에 대해 위협이 되는 웹쉘(120)의 존재를 파악할 수 있고, 이에 대해 적절한 조치를 취할 수 있다. 관리자는 웹쉘(120)에 의한 공격/침해 상황을 컴퓨터 시스템(100)으로부터 실시간으로 전달 받을 수 있다. 이러한 통지는 전술된 통지부를 통해 관리자 단말(130)에 대해 수행될 수 있다.
아래에서, 전술된 단계(310)에서의 프로세스 정보를 수집하는 방법에 대해 더 자세하게 설명한다.
단계(312)에서, 컴퓨터 시스템(100)은 웹 서비스를 제공하는 서버(110)에서 실행 중인 프로세스에 대한 프로세스 ID(Process ID; PID)를 수집할 수 있다.
단계(314)에서, 컴퓨터 시스템(100)은 수집된 PID에 기반하여 해당 프로세스에 대한 추가 프로세스 정보를 수집할 수 있다. 수집되는 추가 프로세스 정보는 해당 프로세스의 이름, 해당 프로세스와 연관하여 실행되는 명령어(cmdline), 해당 프로세스를 실행한 시스템 계정 정보(owner), 해당 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID)(즉, 부모 프로세스 ID), 부모 프로세스의 이름, 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 부모 프로세스를 실행한 시스템 계정 정보(owner) 중 적어도 하나를 포함할 수 있다. 부모 프로세스는 프로세스의 상위 프로세스를 나타낼 수 있다. 부모 프로세스는 일 프로세스의 직접적인 상위 프로세스를 나타내는 것으로 한정되지 않고, 해당 상위 프로세스의 상위 프로세스 또는 그 이상의 상위 프로세스를 포괄할 수 있다.
단계(316)에서, 컴퓨터 시스템(100)은 수집된 프로세스 정보에 기반하여 프로세스에 대한 데이터 세트를 생성할 수 있다. 생성된 데이터 세트는, 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정하기에 적합하도록, 수집된 프로세스 정보가 가공된 데이터일 수 있다. 생성된 데이터 세트는 전술된 단계(312)에서 수집된 PID 및 단계(314)에서 수집된 추가 프로세스 정보를 포함할 수 있다.
컴퓨터 시스템(100)은 수집된 프로세스 정보에 기반한 데이터 세트를 분석함으로써, 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정할 수 있다.
아래에서, 전술된 단계(320)에서의 프로세스 정보와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부를 판정하는 방법에 대해 더 자세하게 설명한다.
단계(322)에서, 컴퓨터 시스템(100)은 단계(316)에서 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정할 수 있다. 기 설정된 패턴은 해당 데이터 세트와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것임을 나타내는 것일 수 있다. 기 설정된 패턴은 컴퓨터 시스템(100)의 사용자(또는 개발자) 또는 서버(110)의 관리자에 의해 기 설정된 것일 수 있다. 단계(316)에서 생성된 데이터 세트는 이러한 기 설정된 패턴과 비교됨으로써, 해당 데이터 세트와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부가 판정될 수 있다.
단계(324)에서, 컴퓨터 시스템(100)은 단계(316)에서 생성된 데이터 세트가 기 설정된 패턴을 포함하면, 해당 데이터 세트와 연관된 프로세스가 웹쉘(120)에 의해 실행된 것으로 판정할 수 있다.
또한, 단계(326)에서, 컴퓨터 시스템(100)은 단계(316)에서 생성된 데이터 세트가 기 설정된 패턴을 포함하지 않으면, 해당 데이터 세트와 연관된 프로세스는 웹쉘(120)에 의해 실행된 것이 아닌 것으로 판정할 수 있다.
기 설정된 패턴은 추가 프로세스 정보에 대한 기 설정된 패턴일 수 있다. 예컨대, 기 설정된 패턴은 추가 프로세스 정보가 포함할 수 있는 2 가지 이상의 정보에 대한 조합된 패턴으로서 설정될 수 있다. 말하자면, 추가 프로세스 정보는 프로세스의 이름, 프로세스와 연관하여 실행되는 명령어(cmdline), 프로세스를 실행한 시스템 계정 정보, 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID), 부모 프로세스의 이름, 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 부모 프로세스를 실행한 시스템 계정 정보 중 적어도 2개를 포함할 수 있고, 기 설정된 패턴은 이러한 추가 프로세스 정보에 대한 기 설정된 패턴으로서, 추가 프로세스 정보가 포함하는 2 가지 이상의 정보에 대한 조합된 패턴일 수 있다.
생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부에 따라, 웹쉘(120)을 탐지하는 구체적인 방법에 대해서는 후술될 도 4를 참조하여 더 자세하게 설명된다.
한편, 단계(316)에서 생성된 데이터 세트는 대기 큐(queue)에 추가될 수 있다. 단계(322)에서는, 대기 큐에 추가된 데이터 세트에 대해, 순차적으로, 해당 데이터 세트가 기 설정된 패턴을 포함하는지 여부가 판정될 수 있다. 따라서, 복수의 프로세스들과 연관된 복수의 데이터 세트들이 대기 큐에 추가되어 있는 경우, 순차적으로, 단계(322)에서의 판정이 수행될 수 있다. 즉, 하나의 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부가 판정된 후 다음의 프로세스에 대해, 해당 다음의 프로세스가 웹쉘(120)에 의해 실행된 것인지 여부가 판정될 수 있다.
이상 도 1 및 도 2를 참조하여 전술된 기술적 특징에 대한 설명은, 도 3에 대해서도 그대로 적용될 수 있으므로 중복되는 설명은 생략한다.
도 4는 일 예에 따른, 프로세스 정보가 포함하는 패턴에 따라 해당 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하는 방법을 나타내는 흐름도이다.
단계(410)에서, 컴퓨터 시스템(100)은 수집된 프로세스 정보(즉, 생성된 데이터 세트)와 연관된 프로세스 또는 그 부모 프로세스가 서버(110)가 제공하는 웹 서비스와 연관되어 있는지 여부를 판정할 수 있다. 예컨대, 컴퓨터 시스템(100)은 수집된 프로세스 정보와 연관된 프로세스를 실행한 시스템 계정 정보(owner)가 서버(110)가 제공하는 웹 서비스를 실행하는 시스템 계정 정보와 일치하는지, 또는 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인지 여부를 판정할 수 있다. 프로세스를 실행한 시스템 계정 정보가 서버(110)가 제공하는 웹 서비스를 실행하는 시스템 계정 정보와 일치하지 않고, 해당 프로세스의 부모 프로세스가 웹 서비스에 의해 실행된 것이 아니면, 컴퓨터 시스템(100)은 상기 프로세스는 웹쉘(120)에 의해 실행된 것이 아닌 것으로 판정할 수 있다. 말하자면, 수집된 프로세스 정보와 연관된 프로세스 및 그 부모 프로세스가 서버(110)가 제공하는 웹 서비스와 연관되어 있지 않으면 해당 프로세스는 웹쉘(120)에 의해 실행된 것이 아닌 것으로 판정될 수 있다.
단계(420)에서, 컴퓨터 시스템(100)은, 수집된 프로세스 정보와 연관된 프로세스 및 그 부모 프로세스가 서버(110)가 제공하는 웹 서비스와 연관되어 있으면(예컨대, 수집된 프로세스 정보와 연관된 프로세스를 실행한 시스템 계정 정보가 서버(110)가 제공하는 웹 서비스를 실행하는 시스템 계정 정보와 일치하거나, 또는 해당 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것이면), 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는지 여부를 판정할 수 있다.
컴퓨터 시스템(100)은 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하지 않으면, 컴퓨터 시스템(100)은 해당 프로세스는 웹쉘(120)에 의해 실행된 것이 아닌 것으로 판정할 수 있다.
한편, 컴퓨터 시스템(100)은 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정된 경우, 해당 프로세스는 웹쉘(120)에 의해 실행된 것으로 판정할 수 있다.
일례로, 수집된 프로세스 정보와 연관된 프로세스의 부모 프로세스가 웹 서비스(또는, 부모 서비스가 웹 서비스에 의해 실행된 프로세스)이면서, 상기 프로세스가 일반적으로 실행되지 않는 명령어를 실행하는 경우, 해당 프로세스는 웹쉘(120)에 의해 실행된 것으로 판정될 수 있다.
또한, 수집된 프로세스 정보와 연관된 프로세스를 실행한 시스템 계정 정보(owner)가 웹 서비스를 실행하는 시스템 계정 정보와 동일하면서, 상기 프로세스가 일반적으로 실행되지 않는 명령어를 실행하는 경우, 해당 프로세스는 웹쉘(120)에 의해 실행된 것으로 판정될 수 있다.
전술한 비일반 명령어는, 기 설정된 비일반 명령어로서, 예컨대, ps, ls, cd, cat 및 find 중 적어도 하나를 포함할 수 있다. 비일반 명령어는 서버(110)가 제공하는 웹 서비스가 실행하는 프로세스가 일반적으로 실행하지 않는 명령어일 수 있다. 비일반 명령어는 컴퓨터 시스템(100)의 사용자(또는 개발자) 또는 서버(110)의 관리자에 의해 기 설정될 수 있다.
또는, 컴퓨터 시스템(100)은 프로세스와 연관하여 실행되는 명령어가 기 설정된 일반 명령어 외의 명령어를 포함하는 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정할 수 있다. 말하자면, 비일반 명령어 대신에 일반 명령어(웹 서비스가 실행하는 프로세스가 일반적으로 실행하는 명령어)가 기 설정되어 있을 수 있다. 프로세스에 의해 이러한 일반 명령어가 아닌 다른 명령어가 실행되면 해당 프로세스는 비일반 명령어를 포함하는 것으로 판정될 수 있다.
한편, 프로세스의 부모 프로세스가 웹 서비스에 의해 실행된 것인지 여부를 판단함에 있어서는, 부모 프로세스를 실행한 시스템 계정 정보와 웹 서비스를 실행하는 시스템 계정 정보를 비교할 수 있다. 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 웹 서비스를 실행하는 시스템 계정 정보와 일치하면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것(또는 웹 서비스에 해당하는 것)으로 판정될 수 있다.
또는, 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 아파치(apache) 또는 노바디(nobody)이면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것(또는 웹 서비스에 해당하는 것)으로 판정될 수 있다. 아파치(apache) 또는 노바디(nobody)는 웹 서비스를 실행하는 시스템 계정 정보(owner)의 예시일 수 있다.
전술한 것처럼, 기 설정된 패턴은 "프로세스를 실행한 시스템 계정 정보" 및 "프로세스와 연관하여 실행되는 명령어"에 대한 조합된 패턴을 나타낼 수 있다. 또는, 기 설정된 패턴은 "프로세스의 부모 프로세스를 실행한 시스템 계정 정보" 및 "프로세스와 연관하여 실행되는 명령어"에 대한 조합된 패턴을 나타낼 수 있다.
따라서, 실시예의 컴퓨터 시스템(100)은 웹쉘(100)이 실행하는 프로세스의 동작이나 웹쉘(100)이 실행될 때 발생하는 상황에 해당하는 패턴(들)을 기 설정해 두고, 수집된 프로세스 정보에서 이러한 기 설정된 패턴이 탐지될 경우, 웹쉘(120)을 탐지할 수 있다.
실시예에서의 웹쉘(120)에 해당하는 기 설정된 패턴은 웹쉘(120)이 실행될 경우 발생하는 다음의 두 가지의 특성에 기반하여 설정될 수 있다. 먼저, 1) 웹쉘(120)은 서버(110)가 제공하는 웹 서비스를 통해서 실행되므로, 웹쉘(120)에 의해 실행되는 프로세스는 실행 시, 웹 서비스의 자식 프로세스로서 실행되거나 웹 서비스와 동일한 시스템 계정으로 실행될 수 있다. 다음으로, 2) 웹쉘(120)이 실행될 경우 웹 서비스(웹 서비스와 연관된 프로세스)에서는 일반적으로 실행되지 않는 명령어가 실행될 수 있다. 상기 1) 및 2) 특성을 조합하여 웹 서비스에 해당하는 프로세스 또는 그 하위 프로세스에 해당하는 프로세스에서 일반적으로 실행하는 명령어 이외의 비일반 명령어가 실행될 경우 웹쉘(120)이 실행된 것으로 판정할 수 있고, 이에 대응하는 패턴(들)이 설정될 수 있다.
한편, 실시예에 따라, 전술된 시스템 계정(시스템 계정 정보) 대신에 프로세서의 이름이 단계(410)의 판정에 있어서 사용될 수도 있다. 예컨대, 단계(410)는 프로세스의 이름이 웹 서비스와 연관된 프로세스의 이름과 일치하는지, 또는 프로세스의 부모 프로세스의 이름이 웹 서비스와 연관된 프로세스의 이름과 일치하는지 여부를 판정하는 것일 수도 있다.
이상 도 1 내지 도 3을 참조하여 전술된 기술적 특징에 대한 설명은, 도 4에 대해서도 그대로 적용될 수 있으므로 중복되는 설명은 생략한다.
도 5는 일 예에 따른, 프로세스에 대한 프로세스 정보를 실시간으로 수집하는 방법과, 수집된 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법을 나타내는 흐름도이다.
도시된 510은 컴퓨터 시스템(100)의 서버(110)에서 실행 중인 프로세스에 대해 프로세스 실행 정보를 실시간으로 수집하는 기능의 수행을 나타낸다.
컴퓨터 시스템(100)은 서버(110)에서 실행 중인 프로세스에 대한 프로세스 정보를 실시간으로 수집할 수 있고(512), 수집된 프로세스 정보에 기반하여 프로세스에 해당하는 데이터 세트를 생성할 수 있다(514). 데이터 세트에 포함되는 프로세스 정보는 530에서 예시되었다. 프로세스 ID 이외의 데이터는 전술된 추가 프로세스 정보에 해당할 수 있다. 컴퓨터 시스템(100)은 생성된 데이터 세트를 큐(queue)에 추가할 수 있고(516), 프로세스 정보 수집 기능을 종료하거나 반복할 수 있다(518).
도시된 520은 컴퓨터 시스템(100)의 서버(110)에 위협이되는 웹쉘(120)이 존재하는지 여부를 판정하는 기능의 수행을 나타낸다.
컴퓨터 시스템(100)은 큐에 데이터 세트가 존재하는지 여부를 판정할 수 있다(522). 큐에 데이터 세트가 존재하지 않으면, 컴퓨터 시스템(100)은 큐에 데이터 세트가 추가될 때까지 대기할 수 있다(524). 큐에 데이터 세트가 존재하면, 컴퓨터 시스템(100)은 데이터 세트에 기 설정된 패턴(웹쉘 패턴)이 존재하는지 여부를 판정할 수 있다(526). 컴퓨터 시스템(100)은 데이터 세트에 기 설정된 패턴이 존재하지 않으면 다음의 데이터 셋에 대한 판정을 계속할 수 있고, 데이터 세트에 기 설정된 패턴이 존재하면 웹쉘(120)이 존재함을 탐지할 수 있다. 웹쉘(120)이 존재함이 탐지되면, 컴퓨터 시스템(100)은 서버(110)의 관리자에게 웹쉘(120)에 의한 침해/위협을 실시간으로 통지할 수 있다(528).
이상, 도 1 내지 도 4을 참조하여 전술된 기술적 특징에 대한 설명은, 도 5에 대해서도 그대로 적용될 수 있으므로 중복되는 설명은 생략한다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 어플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에서 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (17)

  1. 컴퓨터 시스템에 의해 수행되는 웹쉘 탐지 방법에 있어서,
    웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 실시간으로 수집하는 단계; 및
    상기 서버 내의 파일의 내용을 분석하지 않고, 상기 실시간으로 수집된 프로세스 정보에 기반하여, 상기 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하는 단계
    를 포함하고,
    상기 수집하는 단계는,
    상기 실시간으로 수집된 프로세스 정보에 기반하여 상기 프로세스에 대한 데이터 세트를 생성하는 단계
    를 포함하고,
    상기 판정하는 단계는,
    상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하는 단계
    를 포함하고,
    상기 생성된 데이터 세트가 기 설정된 패턴을 포함하면, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정하는 웹쉘 탐지 방법.
  2. 제1항에 있어서,
    상기 프로세스가 웹쉘에 의해 실행된 것으로 판정되면, 상기 서버의 관리자에게 웹쉘이 탐지되었음을 통지하는 단계
    를 더 포함하는, 웹쉘 탐지 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 수집하는 단계는,
    상기 프로세스에 대한 프로세스 ID(PID)를 수집하는 단계; 및
    상기 수집된 PID에 기반하여 상기 프로세스에 대한 추가 프로세스 정보를 수집하는 단계
    를 포함하고,
    상기 추가 프로세스 정보는 상기 프로세스의 이름, 상기 프로세스와 연관하여 실행되는 명령어(cmdline), 상기 프로세스를 실행한 시스템 계정 정보, 상기 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID), 상기 부모 프로세스의 이름, 상기 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 상기 부모 프로세스를 실행한 시스템 계정 정보 중 적어도 하나를 포함하고,
    상기 데이터 세트는 상기 PID 및 상기 추가 프로세스 정보를 포함하는, 웹쉘 탐지 방법.
  5. 제1항에 있어서,
    상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하는 단계는,
    상기 프로세스를 실행한 시스템 계정 정보(owner)가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하는지 또는 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인지 여부를 판정하는 단계; 및
    상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하거나 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는지 여부를 판정하는 단계
    를 포함하는, 웹쉘 탐지 방법.
  6. 제5항에 있어서,
    상기 판정하는 단계는,
    상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정된 경우, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정하는, 웹쉘 탐지 방법.
  7. 제6항에 있어서,
    상기 비일반 명령어는, 기 설정된 비일반 명령어로서, ps, ls, cd, cat 및 find 중 적어도 하나를 포함하는, 웹쉘 탐지 방법.
  8. 제6항에 있어서,
    상기 프로세스와 연관하여 실행되는 명령어가 기 설정된 일반 명령어 외의 명령어를 포함하는 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정되는, 웹쉘 탐지 방법.
  9. 제5항에 있어서,
    상기 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것으로 판정되는, 웹쉘 탐지 방법.
  10. 제5항에 있어서,
    상기 프로세스의 부모 프로세스를 실행한 시스템 계정 정보가 아파치(apache) 또는 노바디(nobody)이면, 상기 프로세스의 부모 프로세스는 상기 웹 서비스에 의해 실행된 것으로 판정되는, 웹쉘 탐지 방법.
  11. 제1항에 있어서,
    상기 생성된 데이터 세트는 대기 큐(queue)에 추가되고,
    상기 대기 큐에 추가된 데이터 세트에 대해, 순차적으로, 상기 추가된 데이터 세트가 상기 기 설정된 패턴을 포함하는지 여부가 판정되는, 웹쉘 탐지 방법.
  12. 제4항에 있어서,
    상기 추가 프로세스 정보는 상기 프로세스의 이름, 상기 프로세스와 연관하여 실행되는 명령어(cmdline), 상기 프로세스를 실행한 시스템 계정 정보, 상기 프로세스와 연관된 부모 프로세스의 프로세스 ID(PPID), 상기 부모 프로세스의 이름, 상기 부모 프로세스와 연관하여 실행되는 명령어(cmdline) 및 상기 부모 프로세스를 실행한 시스템 계정 정보 중 적어도 2개를 포함하고,
    상기 기 설정된 패턴은 상기 추가 프로세스 정보에 대한 기 설정된 패턴인, 웹쉘 탐지 방법.
  13. 제1항, 제2항, 제4항 내지 제12항 중 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 컴퓨터에서 판독 가능한 기록매체에 기록된 프로그램.
  14. 웹쉘을 탐지하는 컴퓨터 시스템에 있어서,
    컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서
    를 포함하고,
    상기 적어도 하나의 프로세서는,
    웹 서비스를 제공하는 서버에서 실행 중인 프로세스에 대한 프로세스 정보를 실시간으로 수집하고,
    상기 서버 내의 파일의 내용을 분석하지 않고, 상기 실시간으로 수집된 프로세스 정보에 기반하여, 상기 프로세스가 웹쉘에 의해 실행된 것인지 여부를 판정하고,
    상기 실시간으로 수집된 프로세스 정보에 기반하여 상기 프로세스에 대한 데이터 세트를 생성하고,
    상기 생성된 데이터 세트가 기 설정된 패턴을 포함하는지 여부를 판정하고,
    상기 생성된 데이터 세트가 기 설정된 패턴을 포함하면, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정하는, 컴퓨터 시스템.
  15. 제14항에 있어서,
    상기 프로세스가 웹쉘에 의해 실행된 것으로 판정되면, 상기 서버의 관리자에게 웹쉘이 탐지되었음을 통지하는 통지부
    를 더 포함하는, 컴퓨터 시스템.
  16. 삭제
  17. 제14항에 있어서
    상기 적어도 하나의 프로세서는, 상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보(owner)와 일치하는지 또는 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인지 여부를 판정하고, 상기 프로세스를 실행한 시스템 계정 정보가 상기 웹 서비스를 실행하는 시스템 계정 정보와 일치하거나 상기 프로세스의 부모 프로세스가 상기 웹 서비스에 의해 실행된 것인 경우, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는지 여부를 판정하고, 상기 프로세스와 연관하여 실행되는 명령어가 비일반 명령어를 포함하는 것으로 판정된 경우, 상기 프로세스가 웹쉘에 의해 실행된 것으로 판정하는, 컴퓨터 시스템.
KR1020190155720A 2019-11-28 2019-11-28 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 KR102382889B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020190155720A KR102382889B1 (ko) 2019-11-28 2019-11-28 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
TW109140281A TWI817062B (zh) 2019-11-28 2020-11-18 使用進程資訊來檢測網頁後門的方法及系統
US17/104,589 US11388182B2 (en) 2019-11-28 2020-11-25 Method and system for detecting webshell using process information
JP2020197137A JP7049432B2 (ja) 2019-11-28 2020-11-27 プロセス情報を使用してウェブシェルを探知する方法およびシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190155720A KR102382889B1 (ko) 2019-11-28 2019-11-28 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20210066460A KR20210066460A (ko) 2021-06-07
KR102382889B1 true KR102382889B1 (ko) 2022-04-05

Family

ID=76087932

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190155720A KR102382889B1 (ko) 2019-11-28 2019-11-28 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템

Country Status (4)

Country Link
US (1) US11388182B2 (ko)
JP (1) JP7049432B2 (ko)
KR (1) KR102382889B1 (ko)
TW (1) TWI817062B (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113591074A (zh) * 2021-06-21 2021-11-02 北京邮电大学 一种webshell检测方法及装置
CN113434861B (zh) * 2021-08-26 2021-11-16 杭州美创科技有限公司 一种WebShell检测方法及其系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7643468B1 (en) * 2004-10-28 2010-01-05 Cisco Technology, Inc. Data-center network architecture
CN100346611C (zh) * 2005-06-30 2007-10-31 西安交通大学 Linux环境下基于调用栈图的入侵检测方法
KR100655492B1 (ko) 2005-10-14 2006-12-08 한국전자통신연구원 검색엔진을 이용한 웹서버 취약점 점검 시스템 및 방법
KR100937010B1 (ko) * 2008-01-21 2010-01-15 한남대학교 산학협력단 유해 프로세스 검출/차단 재발방지 방법
KR101068931B1 (ko) * 2009-03-05 2011-09-29 김동규 패턴 탐지 기반의 웹쉘 관제 시스템 및 그 방법
KR101223594B1 (ko) * 2011-01-28 2013-01-17 한남대학교 산학협력단 Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
US9483642B2 (en) * 2012-10-30 2016-11-01 Gabriel Kedma Runtime detection of self-replicating malware
KR101291782B1 (ko) * 2013-01-28 2013-07-31 인포섹(주) 웹쉘 탐지/대응 시스템
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
KR20160133927A (ko) * 2015-05-14 2016-11-23 한국전자통신연구원 안드로이드 시스템 기반의 단말에서의 루팅 탐지 장치 및 방법
GB2563530B (en) * 2016-04-04 2019-12-18 Mitsubishi Electric Corp Process search apparatus and process search program
CN107070913B (zh) 2017-04-07 2020-04-28 杭州安恒信息技术股份有限公司 一种基于webshell攻击的检测和防护方法及系统
EP3531325B1 (en) * 2018-02-23 2021-06-23 Crowdstrike, Inc. Computer security event analysis
CN109905396A (zh) 2019-03-11 2019-06-18 北京奇艺世纪科技有限公司 一种WebShell文件检测方法、装置及电子设备

Also Published As

Publication number Publication date
KR20210066460A (ko) 2021-06-07
JP2021086636A (ja) 2021-06-03
US20210168162A1 (en) 2021-06-03
US11388182B2 (en) 2022-07-12
TW202121211A (zh) 2021-06-01
TWI817062B (zh) 2023-10-01
JP7049432B2 (ja) 2022-04-06

Similar Documents

Publication Publication Date Title
US10834107B1 (en) Launcher for setting analysis environment variations for malware detection
US11494484B2 (en) Leveraging instrumentation capabilities to enable monitoring services
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
CN107533608B (zh) 可信更新
US9619649B1 (en) Systems and methods for detecting potentially malicious applications
US20180129803A1 (en) Filesystem action profiling of containers and security enforcement
US9589128B2 (en) User trusted device for detecting a virtualized environment
CN102656593B (zh) 对使用链接文件的恶意软件进行检测和响应
WO2016160595A1 (en) System and method for threat-driven security policy controls
US11956264B2 (en) Method and system for verifying validity of detection result
WO2014071867A1 (zh) 程序处理方法和系统,用于程序处理的客户端和服务器
CN111163095B (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
US11706237B2 (en) Threat detection and security for edge devices
CN111163094B (zh) 网络攻击检测方法、网络攻击检测装置、电子设备和介质
CN102110213A (zh) 检测计算机系统内隐藏的对象
KR102382889B1 (ko) 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템
CN109997138A (zh) 用于检测计算设备上的恶意进程的系统和方法
KR20220090537A (ko) 정책 적용을 위한 가상 환경 유형 검증
JP2008129707A (ja) プログラム分析装置、プログラム分析方法、及びプログラム
CN110659478B (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
JP7166969B2 (ja) ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法
JP6930862B2 (ja) クライアント改ざん判断システムおよび方法
US9696940B1 (en) Technique for verifying virtual machine integrity using hypervisor-based memory snapshots
KR102666161B1 (ko) 앱 상시 감지를 통해 보이스피싱을 방지하는 방법, 전자 장치 및 시스템
JP7281998B2 (ja) 情報処理装置、情報処理方法、情報処理システム及びプログラム

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant