WebShell

국내 MS Exchange Server 취약점 공격 정황 포착 (2)

ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다. MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다. 악성 DLL 생성 경로– Microsoft.NET\Framework64\*\Temporary…

이미지 파일을 이용한 PHP 웹쉘 악성코드

웹쉘(WebShell)이란 웹 서버에 업로드 되어 파일 탐색이나 시스템 쉘 명령 등을 실행할 수 있게 하는 파일이다. 공격자는 웹 브라우저를 이용해 서버 시스템의 파일을 탐색하고 쉘 명령을 내릴 수 있다. 악의적인 웹쉘 파일이 서버에 업로드 되는 것을 방지하기 위해 업로드 파일 확장자를 제한하는 등의 방법이 있다. 하지만 공격자는 다음과 같은 방법으로 이를 우회할 수 있다. 서버 사이드 스크립트(Server-Side Script)의 확장자 필터링을 우회하는 파일 업로드 GIF, PNG, JPEG 이미지 등 업로드 가능한 확장자 파일에 악성 스크립트를 삽입하여 파일 업로드 본 글은 이…