내용.

---

AhnLab SEcurity intelligence Center(ASEC)는 AhnLab Smart Defense(ASD) 로그를 기반으로 2026년 1분기 윈도우 웹 서버 대상 공격 현황과 악성코드 통계를 분석했다.
분석 대상은 윈도우 환경의 Internet Information Services(IIS)와 아파치 톰캣 웹 서버이다.
웹쉘을 통한 명령 실행이 주요 침해 경로이며 권한 상승, 프록시 도구, 백도어, 코인 마이너 등 후속 악성행위가 빈번하게 확인되었다.

목적 및 범위.

---

보고서는 2026년 1분기 확인된 로그를 통해 피해 현황과 공격 횟수, 악성코드 분류 통계를 정리하는 것을 목적으로 한다.

주요 통계.

---

• 윈도우 웹 서버를 대상으로 하는 공격은 과거부터 지속적으로 이루어지고 있으며 2026년 1분기에는 Larva-26001 공격자의 공격 사례를 다루었다. Larva-26001 공격자는 적어도 수년간 국내 IIS 웹 서버들을 공격 중이며 포트 포워딩 도구와 권한 상승 악성코드를 설치하고 있다.
• 공격 과정에서는 권한 상승을 위해 JuicyPotato, BadPotato 그리고 권한 상승 취약점인 CVE-2019-1458 공격 도구가 사용되었다.
• 이후 HTran (LCX), PortTranC 도구를 활용해 포트 포워딩을 수행하는 데 주로 3389번 포트 즉 RDP 포트가 그 대상이다. 즉 RDP 서비스와 중개하는 것을 보면 이를 이용해 감염 시스템에 대한 제어를 탈취하고 있는 것으로 보인다.

결론.

---

윈도우 웹 서버 공격은 파일 업로드 취약점, 웹 프레임워크·WAS 취약점, 또는 패치 미적용 서비스의 RCE를 통해 시작되는 경향이 있다.
웹쉘은 침투의 주요 수단으로 활용되며 권한 상승과 프록시 도구를 결합해 내부 네트워크 장악과 RDP 기반 원격 제어로 이어진다.
보고서는 알려진 취약점 패치, 방화벽 등 접속 통제 강화, 백신(V3) 최신화 등을 권고하고 있다.

MD5

0f0a43507e9fb6adb3c4dac92072cec2

141f13b3aae7a0e2410bb3a59101df75

297e9a406f4a7b361882320d9801cfa0

33034332feae99284adb3e20e8fa534f

5b3ed99a5ef7ee49436e38a6fc7bf50d