[해킹사고사례] 웹쉘 webshell 감염 사례

파일업로드 취약점 / webshell 해킹 감염 사례

사고 개요

XX업체 XX서비스 webshell, Miner 코드 감염

침해사고 요약

웹서비스내 이미지 파일 업로드 페이지 취약점을 이용 웹쉘 및 악성코드 설치
웹쉘 파일 srv.aspx , s.aspx
Miner 채굴 코드 sqlservr.exe

XX업체 XX서비스 운영 서버내 “webshell” 및 “Miner 코드” 감염 확인

상세 분석

웹쉘 파일 http request 화면
a. srv.aspx (/..../.../.../common/srv.aspx)

x월 13일 오후 16:01분경 최초 생성

IIS 웹로그 출발지는 중국 IP / 시간은 GMT +9

2019-03-13 07:01:37 X.1X.1X.1X POST /..../.../.../common/srv.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36 200 0 0 337
2019-03-13 07:01:40 X.1X.1X.1X GET /..../.../.../common/srv.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 200 0 0 14893
2019-03-13 07:01:41 X.1X.1X.1X POST /..../.../.../common/srv.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36 200 0 0 424
2019-03-13 07:01:45 X.1X.1X.1X POST /..../.../.../common/srv.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/55.0.2883.87+Safari/537.36 200 0 0 357
-생략-

b. s.aspx (/..../.../.../common/s.aspx)

해당 파일 Request 화면 서버 권한 탈취 windows OS 명령 실행

리버스 커넥션 (reverse connection) 기능의 웹쉘 websehll
해커가 해당 파일을 호출하여 서버 권한 획득 및 모든 OS 명령 실행 가능

2019-03-13 08:04:16 X.1X.1X.1X POST /..../.../.../common/s.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 200 0 0 1784
2019-03-13 08:04:20 X.1X.1X.1X POST /..../.../.../common/s.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 200 0 0 109
2019-03-13 08:10:12 X.1X.1X.1X POST /..../.../.../common/s.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 400 0 64 131451
2019-03-13 08:10:56 X.1X.1X.1X POST /..../.../.../common/s.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 400 0 64 130017
2019-03-13 08:11:02 X.1X.1X.1X POST /..../.../.../common/s.aspx - 80 - 119.4.240.251 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 400 0 64 128345
-생략-

c. Miner 코드 (가상화폐 채굴) 악성 파일 발견

sqlservr.exe (C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL.1)

코드 실행으로 운영 서버에서 -> 외부 mining pool IP 통신 로그

2019-05-13 11:20 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 11:21 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 11:22 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 11:18 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 11:23 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 11:31 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443
2019-05-13 12:11 MINER - TCP (Request) Unblocked X1.2X.X2.X9 2XX.XX.XX9.182 TCP 443

d. 서버 점검 내용

administrator 계정으로 로그인 후 악의적 행위 이후 로그오프 로그

서버 권한 탈취로 윈도우 이벤트 로그 강제 삭제 진행

점검 결과

1) XX 업체 XX서비스 서버 침해사고 사실 확인

2) 웹 쉘 (web shell) 감염

3) 3월13일 중국 IP및 한국 IP에서 지속적으로 접속한 이력 발견
웹쉘 실행 -> 리버스 커넥션 방식으로 접속하여 운영 서버 내 모든 OS 명령 실행 가능

4) Miner 가상화폐 채굴 코드 발견

5) 채굴 코드 설치로 지속적으로 외부 IP (mining pool) 통신 이력 발견

2019.05.13 X.1X.1X.1X 171.XX1.1X3.28 444 Miner
2019.04.04 X.1X.1X.1X 58.7X.1X.X0 443 Miner
2019.04.02 X.1X.1X.1X X0.1X9.X2X.2X 444 Miner
2019.04.01 X.1X.1X.1X 2XX.XX.XX9.1X2 443 Miner

감염 경로 확인

XX서비스 서비스 웹 취약점
웹서비스 내 이미지 파일 업로드 페이지 취약

조치 결과 및 권고 사항

1) 웹 소스 폴더 웹쉘 파일 삭제
D:\...\...\...\C...\s.aspx -> s.aspx 파일 삭제
D:\...\...\...\C....\srv.aspx -> srv.aspx 파일 삭제

2) Miner 채굴 코드 삭제
C:\Program Files\Intel 폴더 삭제처리
C:\Program Files\Intel\IAStorSvc.exe 서비스 중지 및 삭제 처리 완료
(sqlservr.exe 상위 프로세스)
C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL.1 폴더 삭제 처리
C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL.1\sqlservr.exe 악성코드 삭제

3) 이미지 파일 업로드 페이지 시큐어 코딩 필요

추가 점검 가이드

동일 버전의 XX서비스 “웹 서버 접속 로그” 전체 점검
상기 내용과 동일한 패턴(파일이름 등) 검색

상기 내용중 “웹쉘 설치 경로”(웹소스)에서 의심 파일 존재 유무 파악
가급적이면 전체 웹소스 폴더 점검 권고

본 포스팅은 실제 침해사고대응 사례를 기반으로 작성되었으며, 보완 조치 완료 상태입니다.
민감 정보는 모두 마스킹(가림처리) 처리로 피해 조직에 어떠한 불이익도 없음을 명시합니다.

사이버 보안 업계 종사자나 보안 꿈나무들에게 조금이나마 도움이 되고자 작성한 글이며
악의적, 상업적 용도의 사용 및 가공은 자제 부탁드립니다.