WDS (웹쉘 탐지 솔루션)

웹쉘을 탐지하는 웹쉘 탐지 솔루션에 대해 알아보자.

WAF를 쓰면 될 것을 굳이 또 웹셀 탐지장비를 따로 쓰는 이유는 뭘까.

 

WAF는 OWASP top 10에 있는 모든 취약점을 탐지, 차단해야 하므로

웹쉘에 대한 탐지/차단 기능이 부족하다. 그래서 추가로 웹쉘 탐지 장비를 따로 두는 기업이 많다.

 

웹쉘 탐지 장비는 웹쉘을 탐지하는 기능에 추가로 개인정보 탐지, 업로드 필터링, 변경 방지 등의 기능도 제공한다.

 

Webshell 탐지 장비는 탐지 대상 웹 서버에 설치되고 웹 어플리케이션 디렉토리 내에 존재하는 웹쉘을 탐지한다.

웹쉘에 대한 내용은 다음에 따로 정리할 것이다. 

간단하게 설명하자면 웹 어플리케이션에서 쉘을 실행시키는 기능을 담은 어플리케이션 스크립트이다.

 

대표적으로 UMV사의 ShellMonitor라는 솔루션을 많이들 사용한다.

쉘모니터는 어떤 형식으로 구성되는지 한번 보자.

 

 

 

그림과 같이 각 에이전트 (서버에 설치되는 프로그램)들에서 발생한 탐지 로그들을 서버로 전송한다. 

서버는 실제 Webshell 탐지 장비로, HW+SW 형태이다. 

그리고 매니져는 관리자가 운용하는 프로그램으로 관리서버에 붙어 Webshell 탐지 장비를 관리한다.

 

아래 그림은 Shellmonitor의 GUI화면이다.

 

 

참고 문서 : ShellMonitor_매니저 매뉴얼_표준매뉴얼