IIS 웹 서버 대상 웹 셸 공격 및 데이터 탈취 분석

Hackers Deploy Web Shell To Abuse IIS Worker And Exfiltrate Data

Hackers Deploy Web Shell To Abuse IIS Worker And Exfiltrate Data

 

• 공격 개요
  • 공격자는 IIS(인터넷 정보 서비스) 서버의 취약점(batchupload.aspx, email_settings.aspx)을 악용하여 웹 셸 업로드
  • IIS 워커 프로세스(w3wp.exe)를 통해 원격 명령 실행 및 정보 탈취 수행
  • 공격 원점 IP: 86.48.10[.]109, 위장된 크롬 브라우저 사용자 에이전트(User-Agent) 사용
• 공격 과정
  • 1단계: 웹 셸 업로드 시도
    • 최초 시도 실패 후, 다른 경로에 웹 셸 업로드 성공
  • 2단계: 권한 상승 및 정찰 활동
    • cmd.exe, PowerShell.exe 실행하여 시스템 정보 수집
    • whoami, tasklist, systeminfo, type 명령어 사용하여 사용자 계정 및 실행 중인 프로세스 확인
  • 3단계: 지속적 접근 유지
    • 신규 계정 생성 및 기존 계정 암호 변경
    • 웹 셸 파일명을 정상 파일로 위장하여 탐지 회피
  • 4단계: 원격 명령 실행 및 악성 파일 배포
    • PowerShell 인코딩 명령을 통해 역방향 TCP 셸(reverse TCP shell) 생성
    • C&C 서버(54.255.198.171) 연결하여 추가 악성 도구 다운로드
    • 다운로드된 파일: 0x02.exe, rev.bat, AnyDesk.exe, ngrok.exe
    • AnyDesk 원격 데스크톱 설치 후, 자동 실행 설정하여 지속적 원격 제어 가능하도록 구성
  • 5단계: 데이터 탈취 및 흔적 삭제
    • 7z.exe를 사용하여 서버 내 데이터를 _x89z7a.zip으로 압축 후 GET 요청을 이용한 데이터 탈취
    • 탈취 후 ‘del’ 명령어를 사용하여 증거 파일 삭제
    • 추가적인 데이터 탈취 시도 발견(결제 및 거래 관련 파일 포함 가능성)
• 사용된 웹 셸 및 기능
  • 임의 코드 실행: cmd.aspx, cmd2.aspx, 0514_Bills_Payment_Intraday_001102019_114424.aspx
  • 파일 관리: 0514_Bills_Payment_Intraday_01012019_054034.aspx
  • 악성 파일 업로드: up.aspx, up.html
  • 권한 상승 및 원격 코드 실행: 0x02.exe (필리핀 디버그 로그 바이너리, RPC 기반)
• 보안 권고
  • 웹 애플리케이션 보안 강화
    • 사용자 입력값 철저한 검증 및 필터링 적용(웹 셸 업로드 방지)
    • 업로드 가능한 파일 확장자 제한 및 무결성 검증 강화
  • 강력한 접근 통제 적용
    • 웹 서버 및 관리 페이지에 대한 MFA(다중 인증) 적용
    • 불필요한 관리자 계정 및 권한 최소화
  • 보안 패치 및 모니터링 강화
    • IIS 및 관련 웹 프레임워크 최신 패치 적용
    • EDR(엔드포인트 탐지 및 대응) 및 IDS/IPS를 활용한 이상 행위 탐지
    • 로그 분석을 통한 의심스러운 웹 요청 및 인증 이벤트 모니터링
  • 침해 지표(IOC) 분석 및 대응
    • C&C 서버(54.255.198.171)와의 통신 차단
    • 7z.exe, cmd.exe, PowerShell.exe 실행 기록 분석하여 공격 흔적 확인
• 결론
  • IIS 웹 서버를 대상으로 한 웹 셸 공격은 탐지가 어려우며, 지속적인 위협 요소
  • 강력한 접근 통제 및 웹 애플리케이션 보안 강화가 필수
  • 정기적인 취약점 점검 및 모니터링을 통해 사전 대응 필요
  • 기업은 웹 서버 보안 정책을 강화하고, 웹 셸 탐지 및 대응 솔루션을 도입해야 함