공지사항
VPC 환경에서 이용 가능합니다.
서비스 특징
알려지지 않은 웹쉘까지 실시간으로 탐지
강력하고 정밀한 탐지
웹쉘 공격은 탐지를 회피하기 위한 다양한 은폐 기술(신규 패턴, 난독화, 암호화)이 가능해 인식하기가 매우 어려운 공격입니다. 그러나, Webshell Behavior Detector는 강력하고 정밀한 행위 기반 탐지 기법을 이용하므로, 이러한 은폐 기술을 모두 무력화시킬 수 있어 기존의 웹쉘은 물론 새로운 유형의 웹쉘도 실시간으로 탐지할 수 있습니다.
실시간 탐지 및 맞춤형 알림 발송
일정 주기로 탐지하는 방식이 아닌, 웹쉘 행위 발생 시 실시간으로 탐지하고 설정된 연락처로 알림을 발송하므로, 신속한 대응이 가능합니다. 또한, 알림 주기를 설정하여 과도한 알림을 방지할 수 있습니다.
간편한 사용 설정
기본 설정 규칙 외에도 사용자가 직접 예외 규칙을 설정할 수 있습니다. 탐지된 내역을 바탕으로 몇 번의 클릭만으로 간편한 커스텀 설정이 가능합니다.
쉽고 편리한 대응
웹쉘 의심 행위 탐지 알림을 받았을 때, 사용자는 서버에 직접 접속하지 않고 Webshell Behavior Detector의 Console 화면에서 빠르고 간편하게 웹쉘 의심 파일을 격리할 수 있습니다.
연동 부가 서비스
상세 기능
웹쉘 의심 행위를 행위 기반으로 실시간 탐지하여 빠르게 대응할 수 있도록 알림을 제공합니다.
또한, 탐지/예외 규칙 설정, 탐지 내역 관리, 웹쉘 파일 격리 등 웹쉘 공격에 빠르고 간편하게 대응할 수 있는 다양한 기능을 제공합니다.
웹쉘이란?
시스템 명령을 실행할 수 있는 쉘(shell)의 기능을 웹 사이트에서 이용할 수 있게 만든 서버 사이드 스크립트 코드로서, 시스템을 파괴하거나 정보를 유출하는 등 악의적인 행위를 수행하기 위해 의도적으로 제작된 악성코드입니다.
구성 및 동작
Webshell Behavior Detector 서비스는 고객 서버 내 설치된 agent를 통해 정보를 실시간으로 수집하여 분석 서버로 전송합니다. 수집된 정보를 바탕으로 웹쉘 행위가 탐지될 경우 빠르게 대응할 수 있도록 고객에게 알림을 발송합니다. 또한 콘솔에서 웹쉘 분석 및 대응 시 참고할 수 있는 웹쉘 의심 행위, 웹쉘 의심 파일, 공격자 의심 IP를 제공합니다.
서비스 활용 예시
고객은 웹 서비스를 좀 더 안전하게 운영하기 위해 Webshell Behavior Detector 서비스를 신청하였습니다.
지방 출장을 위해 이동하던 중 웹쉘 의심 행위 알림을 받게 되었습니다.
콘솔로 접속하여 웹쉘에 의해 실행된 것으로 보이는 명령과 웹쉘로 의심되는 파일을 확인한 결과, 실시간으로 웹쉘에 의해 침해 사고가 발생하고 있는 것을 확인하였습니다.
시급한 상황이다보니 즉시 콘솔에서 파일 격리 기능을 통해 웹쉘로 의심되는 파일을 격리 조치하여, 피해를 일시적으로 막을 수 있었습니다.
웹쉘을 업로드할 수 있었던 취약점을 막을 수 있도록, 공격자 의심 IP를 차단함으로써 대응할 시간을 확보할 수 있었습니다.
네이버 클라우드 플랫폼의 Web Security Checker 서비스를 이용하여 웹 서비스 내 웹쉘을 업로드할 수 있었던 취약점을 찾아낼 수 있었고 이를 조치하여 웹쉘 침해 사고 피해를 최소화하여 대응에 성공하였습니다.
주요 제공 기능
기능 | 설명 |
|---|---|
행위 기반 실시간 웹쉘 탐지 | 웹 서버 내에서 발생하는 각종 데이터를 실시간으로 분석하여 웹쉘의 행위를 실시간으로 판단할 수 있습니다. |
알려지지 않은 웹쉘 탐지 | 함수명, 인자 값 등 웹쉘 파일을 조금이라도 수정하거나, 패킷을 암호화하거나, SSL 이 적용된 환경에서는 탐지가 어려운 기존 웹쉘 탐지 솔루션의 한계를 극복하고 완전히 새로운 웹쉘까지도 탐지할 수 있습니다. |
웹쉘 의심 행위 정보 및 이력 관리 | 웹쉘이 탐지된 서버, 시간, 실행한 명령어, 웹쉘의 경로, 공격자 IP 등의 각종 정보를 제공합니다. 고객은 해당 정보를 참고하여 좀 더 면밀한 대응 전략을 수립할 수 있으며, 대응 방법 등의 정보를 더해 간편하게 이력을 관리할 수 있습니다. |
파일 격리/복구 | 직접 서버에 접속하지 않고 네이버 클라우드 플랫폼 Console 화면에서 클릭 한 번으로 웹쉘 의심 파일을 격리하거나 복구할 수 있습니다. |
웹쉘 의심 파일 목록 제공 | 웹쉘 행위 탐지 시 빠르게 대응할 수 있도록 웹쉘 의심 파일 목록을 제공합니다. 또한 의심되는 웹쉘 파일에 대해 생성 시간, 파일 권한, 소유자, 그룹, 파일 경로, 사이즈 등 부가적인 정보를 함께 제공합니다 |
공격자 의심 IP 목록 제공 | 공격자가 시도한 행위를 분석하거나 IP를 차단하는 등의 조치를 위해 공격자로 의심되는 IP 및 국가 정보를 제공합니다. |
예외 규칙 설정 | 다양한 고객의 웹 서비스 환경에 맞춰 서비스를 이용하실 수 있도록 상세한 예외 규칙 설정 기능을 제공합니다. |
알림 기능 | 웹쉘 행위 탐지 시 실시간으로 탐지 내용을 선택한 방식(E-mail, SMS)으로 알림이 전달됩니다. 또한 알림 인터벌을 설정하면 지정한 시간 내에 알림을 한 번만 받을 수 있도록 하여 과도한 알림을 방지할 수 있습니다. |
에이전트 원격 관리 | 서버에 접속할 필요 없이 네이버 클라우드 플랫폼 Console 화면에서 간편하게 탐지를 활성화/비활성화 할 수 있는 기능을 제공합니다. |
서버 그룹 | 웹 서버가 많은 경우 서버 그룹 기능을 통해 서버를 분류하여 보다 간편하게 서비스를 이용하실 수 있습니다. |
서비스 지원 환경
기능 | 설명 |
|---|---|
OS (only Linux) | · CentOS 6.3 · CentOS 6.6 · CentOS 7.2 · CentOS 7.3 · CentOS 7.8 · ubuntu 16.04 · ubuntu-18.04 · Oracle Linux 7.4 · Oracle Linux 7.6 · Red Hat Enterprise Linux 7.6 · Red Hat Enterprise Linux 8.2 |
Web Server | · Apache(httpd) · Tomcat · Nginx |
※ Docker 와 같은 가상화 플랫폼 환경은 지원하지 않으니 이용 시 참고해주시기 바랍니다.
이용 시 주의사항
Agent 설치 후 네이버 클라우드 플랫폼 Console에서 Agent가 활성화되었는지 꼭 확인해 주세요.
Agent 상태가 "활성화"일 때 웹쉘 행위를 탐지할 수 있는 상태입니다. 활성화가 아닐 경우 활성화 상태로 변경해 주세요. 활성화 상태가 아니라면 과금은 되지 않습니다.
서버 환경에 맞게 설치되었는지 확인하는 방법은 사용자 가이드를 참고해 주세요.
Agent 설치 시 서버 환경에 맞게 설정을 해야 웹쉘 행위를 탐지할 수 있습니다. 이상한 탐지 내역이 수집되거나 정상적으로 설정된 것인지 궁금할 경우 사용자 가이드를 참고해 주세요.
웹쉘 의심 파일 격리 시 신중히 진행해 주세요.
정상적인 웹 서비스 파일 격리 시 서비스 장애가 발생할 수 있습니다. 웹쉘 의심 파일 격리 시 신중히 진행하실 것을 권고드립니다.
웹쉘 의심 파일 목록 및 공격자 의심 IP 목록은 가장 높은 확률로 의심되는 대상입니다.
제공되는 의심 목록은 파일 생성 시간, 접근 로그 등 다양한 정보들을 취합하여 도출한 정보로, 대응 시 참고를 위해 제공되는 정보입니다. 웹쉘 의심 파일 격리 또는 공격자 의심 IP 차단 등 조치 시 신중히 검토 후 진행하길 권고드립니다.
서비스 특장점
Webshell Behavior Detector 서비스는 기 정의된 파일 내용에 대한 패턴 기반이 아닌 행위 기반으로 웹쉘을 탐지합니다. 다음은 웹쉘 파일 패턴 기반 또는 네트워크 계층에서는 탐지하기 쉽지 않은 유형들을 포함하여 본 서비스의 특장점들을 기술한 내용입니다.
웹쉘이 실행되는 순간 실시간으로 탐지할 수 있고 알림을 제공받을 수 있습니다.
패턴 기반 방식의 경우 새로운 유형의 웹쉘을 탐지하기 어려우나, 행위 기반 방식의 경우 새로운 유형의 웹쉘도 탐지할 수 있습니다.
패턴 기반 방식의 경우 난독화가 적용된 웹쉘을 탐지하기 어려우나, 행위 기반 방식의 경우 난독화와 관계없이 탐지할 수 있습니다.
네트워크 계층에서는 탐지하기 어려운 SSL 환경에서의 웹쉘 행위도 탐지할 수 있습니다.
네트워크 계층에서는 탐지하기 어려운 암호화 통신이 적용된 웹쉘 행위도 탐지할 수 있습니다.
주기적으로 파일 내용들을 검사하지 않기 때문에 성능 부하에 대한 부담감이 비교적 낮습니다.
행위가 발생할 때마다 확인하므로 웹쉘 행위를 찾아내는 데까지 도달하는 시간이 적게 소요됩니다.
요금
상황에 따라 유연하게 서비스를 이용할 수 있도록 시간 단위 종량 요금제를 제공합니다.
구분 | 과금 기준 | 요금 |
|---|---|---|
Agent 당 | 시간 | - |
(VAT 별도)
서버 정지 혹은 서비스 비활성화 등으로 상품을 정상적으로 이용하지 못한 시간은 총 이용 시간에서 자동 차감됩니다.
서버가 반납되면 서비스 이용도 자동으로 종료됩니다.
(예) 두 대의 서버에서 각각 10시간, 5시간 동안 Agent가 실행되었을 경우, 이용 요금은 다음과 같습니다. -> -= (10시간 x -/시간 + 5시간 x -/시간)
Webshell Behavior Detector
리소스
FAQ
Loading...