(가상화 기술을 통한) 변조된 Webshell 탐지를 위한 동적/행위 분석 개선 방안
(Using Virtualization Technology) An improvement of Dynamic/Behavior Analysis for detecting Modulated Webshell
- 발행기관 서강대학교 정보통신대학원
- 지도교수 장직현
- 발행년도 2013
- 학위수여년월 2013. 2
- 학위명 석사
- 학과 및 전공 정보통신대학원 정보시스템보호
- 실제URI http://www.dcollection.net/handler/sogang/000000049684
- 본문언어 한국어
- 저작권 서강대학교 논문은 저작권 보호를 받습니다.
초록/요약
Recently, hackers have been researching steadily into techniques to bypass strengthened security solutions such as IDS/ IPS, and web application firewall. The attacks against the web application vulnerability have been improving by using ports such as tcp/80 (basic web protocol : http://),and tcp/443 (basic security protocol : https://) accessed by anyone while operating web services. In fact, many security holes exist in the web scripts, and hackers can attack the systems through uploading the webshell. The webshell is a code that can command systems through the uploading vulnerability. It is usually created by using simple server scripts (jsp, php, asp..), and is also uploaded through the vulnerability in the web servers. While executing the webshell, hackers can easily access the systems without any authentications by avoiding the security system. Although webscripts are running in servers, hackers cannot upload the webshell if the vulnerability does not exist. Also, even if the webshell is uploaded in web servers, it cannot be executed without the system permissions. However, all the scripting languages have their own vulnerabilities, and the risk of web pages may increase depending on each capability of web developers. Many studies show static and dynamic analysis to detect malicious codes including the webshell and activity analysis, which is a kind of dynamic analysis, has been progressing to figure out new patterns of the webshell based on the virtual operating server Honeypot, which can be easily attacked. The existed tools to detect the webshell operate through extracting the analyzed patterns but the attacks are being tried and even succeeded in many cases by detouring those patterns with interfering techniques like code obfuscations. In this thesis, the limits of the previous webshell detect tools and the more efficient modeling to detect the webshell has been suggested by analyzing the webshell scripts applied the obfuscation techniques which can detour patterns in virtual environments based on dynamic/activity analysis.
more초록/요약
최근 들어 해커들은 IDS/IPS 및 웹 방화벽 같은 보안 솔루션이 강화되어짐에 따라 이를 우회하는 기법들을 꾸준히 탐구 하고 있다. 이에 웹 서비스를 하는 서버라면 누구나 접근 할 수 있는 TCP/80(기본 웹 프로토콜 : http://), TCP/443(기본 보안 프로토콜 : https://) 포트를 이용한 웹 어플리케이션 취약점 공격 기법이 나날이 발전되어 가고 있는 실정이다. 실제로 웹 스크립트 에는 많은 취약점이 존재하며 해커들은 취약점을 이용해 웹 쉘(Web Shell)을 업로드 시켜 시스템을 무력하게 만든다. 웹 쉘이란 업로드 취약점을 통하여 시스템에 명령을 내릴 수 있는 코드를 말하다. 웹 쉘은 간단한 서버 스크립트(jsp, php, asp ..)로 만드는 방법이 널리 사용되며 이 스크립트들은 웹 서버의 취약점을 통해 업로드 된다. 웹 쉘 실행 시 해커들은 보안 시스템을 피하여 인증 없이 시스템에 쉽게 접속 가능하다. 웹이 서버에서 구동되고 있다 하여도 취약점이 존재하지 않으면, 웹 쉘을 업로드 할 수 없고 만약 업로드 되었다 하더라도 실행 권한이 없으면, 실행이 되지 않는다. 하지만 모든 스크립트 언어에는 자체적으로도 취약점이 존재하며 웹 페이지 개발자의 능력에 따라서도 웹 페이지의 위험도가 증가 될 수 있다. 이에 웹 쉘을 포함한 악성코드를 탐지 하기 위한 정적 분석과 동적 분석에 대한 연구 결과 들이 발표 되어 왔으며, 허니팟 이라는 공격 당하기 쉬운 가상 운영 서버를 두어 이를 기반으로 새로운 웹 쉘 패턴을 탐지 하는 동적 분석에 일환인 행위 분석에 대한 연구도 활발히 진행 중에 있다. 기존의 웹 쉘을 탐지 하기 위한 도구들은 분석된 웹 쉘로부터 추출한 패턴을 통해 검출 하지만 코드 난독화와 같은 분석 방해 기법들로 인해 위와 같은 방법으로 만들어진 웹 쉘 패턴들을 우회 하여 공격을 시도하고 성공하는 사례가 급증하고 있다. 본 논문에서는 기존 웹 쉘 탐지 도구의 한계를 진단하고, 동적+행위 기법을 바탕으로 가상화 환경 안에서 패턴을 우회 할 수 있는 난독화 기법이 적용된 웹 쉘 스크립트를 분석하여 더욱 효율성 있는 웹 쉘 탐지 모델링을 제안 한다.
more