1 |
1
컴퓨터 단말기에 설치되어 웹쉘을 탐지하는 웹쉘 탐지 시스템에 있어서,
웹쉘과 정상 스크립트 파일을 구분하기 위해 웹쉘에 포함되는 적어도 하나의 웹쉘 시그니쳐를 저장하는 웹쉘 시그니쳐 저장모듈;
상기 컴퓨터 단말기에 저장된 스크립트 파일을 피검사 스크립트 파일로써 추출하는 피검사 파일 추출모듈; 및
상기 피검사 스크립트 파일에 상기 웹쉘 시그니쳐 저장모듈에 저장된 상기 웹쉘 시그니쳐가 포함되었는지를 판단하는 웹쉘 시그니쳐 비교모듈;을 포함하여 구성되고,
상기 웹쉘 탐지 시스템은, 네트워크 상에서 웹쉘을 검색하여 상기 웹쉘의 시그니쳐를 수집하는 웹쉘 탐지 서버;를 더 포함하고,
상기 웹쉘 탐지 서버는, 상기 웹쉘 시그니쳐 저장모듈에 저장되지 않은 웹쉘 시그니쳐가 발생된 경우 상기 컴퓨터 단말기에 제공하는 웹쉘 탐지 서버에 의한 웹쉘 시그니쳐 업데이트모듈;을 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
2 |
2
제 1 항에 있어서, 상기 웹쉘 시그니쳐는,
오브젝트, 함수, 문자열 또는 정규표현식 중 어느 하나인 것을 특징으로 하는 웹쉘 탐지 시스템
|
3 |
3
제 2 항에 있어서,
상기 오브젝트인 상기 웹쉘 시그니쳐는, Wscript
|
4 |
4
제 1 항에 있어서, 상기 웹쉘 시그니쳐는,
데이터 베이스 접속 웹쉘 시그니쳐 또는 파일 업로드 전용 웹쉘 시그니쳐인 것을 특징으로 하는 웹쉘 탐지 시스템
|
5 |
5
제 4 항에 있어서, 상기 데이터 베이스 접속 웹쉘 시그니쳐 또는 파일 업로드 전용 웹쉘 시그니쳐는,
CreateObject
|
6 |
6
제 1 항에 있어서,
상기 웹쉘 탐지 시스템은, 상기 웹쉘 시그니쳐 저장모듈에 저장된 웹쉘 시그니쳐의 리스트를 사용자에게 제공하는 웹쉘 시그니쳐 리스트 제공모듈 및 사용자 입력에 의해 상기 웹쉘 시그니쳐 리스트에 포함된 웹쉘 시그니쳐를 활성 웹쉘 시그니쳐 및 비활성 웹쉘 시그니쳐로 구분하는 웹쉘 시그니쳐 설정모듈을 더 포함하고,
상기 웹쉘 시그니쳐 비교모듈은, 상기 피검사 스크립트 파일에 상기 웹쉘 시그니쳐 설정모듈에서 지정한 활성 웹쉘 시그니쳐가 포함되었는지를 판단하는 것을 특징으로 하는 웹셀 탐지 시스템
|
7 |
7
제 1 항에 있어서, 상기 웹쉘 탐지 시스템은,
상기 웹쉘 시그니쳐 저장모듈에 저장되지 않았던 웹쉘 시그니쳐 발생시 상기 웹쉘 시그니쳐를 추가로 저장하도록 입력하는 사용자 입력부를 더 포함하고,
상기 사용자 입력부에 입력된 새로운 웹쉘 시그니쳐를 상기 웹쉘 시그니쳐 저장모듈에 저장하는 사용자 입력에 의한 웹쉘 시그니쳐 업데이트모듈을 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
8 |
8
삭제
|
9 |
9
제 1 항에 있어서, 상기 웹쉘 탐지 시스템은,
홈페이지 홈 디렉터리 또는 윈도우 내 디렉터리 중 적어도 하나를 지정하는 피검사 디렉터리 지정모듈을 더 포함하고,
지정된 디렉터리 및 하위 디렉터리의 스크립트 파일들을 순차적으로 상기 웹쉘 시그니쳐와 비교하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
10 |
10
제 1 항에 있어서, 상기 피검사 파일 추출모듈은,
상기 피검사 파일을 asp, aspx, cer, cdx, asa 또는 hta의 스크립트 파일 중 적어도 하나를 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
11 |
11
제 1 항에 있어서,
상기 웹쉘 탐지 시스템은, 스크립트 확장자 파일에 관한 리스트를 사용자에게 제공하는 스크립트 확장자 파일 리스트 제공모듈 및 사용자의 입력에 의해 상기 스크립트 확장자 파일 리스트에 포함된 스크립트 파일을 활성 스크립트 확장자 파일 및 비활성 스크립트 확장자 파일로 구분하는 스크립트 확장자 파일 설정모듈을 더 포함하고,
상기 웹쉘 시그니쳐 비교모듈은, 상기 스크립트 파일 설정모듈에서 설정한 상기 활성 스크립트 확장자 파일에 대해 웹쉘 시그니쳐가 포함되었는지를 판단하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
12 |
12
제 10 항에 있어서, 상기 스크립트 파일은,
htm, html 또는 shtml을 더 포함하며, 이 중 적어도 하나를 지정하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
13 |
13
제 1 항에 있어서, 상기 웹쉘 탐지 시스템은,
파일 전체 경로, 파일 크기, 파일 수정된 시간 또는 매칭된 시그니쳐 정보 중 적어도 하나를 포함하는 탐지된 웹쉘 정보를 사용자에게 제공하는 웹쉘 탐지 결과 리포팅모듈을 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
14 |
14
제 1 항에 있어서, 상기 웹쉘 탐지 시스템은,
웹쉘에 접근한 공격자에 대한 정보를 제공하는 공격자 정보 제공모듈을 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
15 |
15
제 14 항에 있어서, 상기 공격자 정보 제공모듈은,
웹서버에서 웹쉘 웹로그를 검색하는 웹쉘 웹로그 검색부, 상기 웹쉘 웹로그 검색결과로부터 공격자 IP를 추출하는 공격자 IP 추출부 및 상기 추출된 공격자 IP를 통해 웹로그를 재검색하는 웹로그 재검색부를 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
16 |
16
제 14 항에 있어서, 상기 웹쉘 탐지 시스템은,
상기 탐지된 웹쉘에 대한 소스코드를 사용자에게 제공하는 웹쉘 코드 뷰어모듈을 더 포함하고,
상기 웹쉘 코드 뷰어모듈은 웹쉘 시그니쳐라고 판단된 소스코드에 대해서는 부각하여 보여주는 것을 특징으로 하는 웹쉘 탐지 시스템
|
17 |
17
제 16 항에 있어서, 상기 웹쉘 탐지 시스템은,
상기 탐지된 웹쉘을 삭제하는 웹쉘 삭제모듈을 더 포함하는 것을 특징으로 하는 웹쉘 탐지 시스템
|
18 |
18
컴퓨터 단말기에 설치되어 웹쉘을 탐지하는 웹쉘 탐지 방법에 있어서,
웹쉘과 정상 스크립트 파일을 구분하기 위해 웹쉘에 포함되는 적어도 하나의 웹쉘 시그니쳐를 저장하는 제 1 단계;
상기 컴퓨터 단말기에 저장된 스크립트 파일을 피검사 스크립트 파일로써 추출하는 제 2 단계;
상기 추출된 스크립트 파일에 상기 웹쉘 시그니쳐 저장단계에서 저장된 상기 웹쉘 시그니쳐가 포함되었는지를 판단하는 제 3 단계; 및
상기 웹쉘 시그니쳐로 저장되지 않았던 웹쉘 시그니쳐 발생시 사용자가 상기 웹쉘 시그니쳐를 추가로 저장하도록 입력하거나 또는 네트워크 상에서 웹쉘을 검색하여 상기 웹쉘의 시그니쳐를 수집하고, 웹쉘 시그니쳐로 저장되지 않았던 웹쉘 시그니쳐 발생시 추가로 저장하도록 상기 컴퓨터 단말기로 제공하는 제 4 단계;를 더 포함하는 것을 특징으로 하는 웹쉘 탐지 방법
|
19 |
19
제 18 항에 있어서, 상기 제 1 단계는,
저장된 상기 웹쉘 시그니쳐에 대한 리스트를 사용자에게 제공하고, 사용자는 상기 웹쉘 시그니쳐 리스트에 포함된 웹쉘 시그니쳐를 활성 시그니쳐 및 비활성 시그니쳐로 구분하여 설정하는 제 1 부단계;를 더 포함하고
상기 제 3 단계는, 상기 추출된 스크립트 파일에 상기 지정한 활성 웹쉘 시그니쳐가 포함되었는지를 판단하는 것을 특징으로 하는 웹셀 탐지 방법
|
20 |
20
제 18 항에 있어서,
상기 제 2 단계는, 홈페이지 홈 디렉터리 또는 윈도우 내 디렉터리 중 적어도 하나를 지정하고, 지정된 디렉터리 및 하위 디렉터리의 스크립트 파일들을 순차적으로 상기 웹쉘 시그니쳐와 비교하는 제 2 부단계;
asp, aspx, cer, cdx, asa, hta, htm, html 또는 shtml의 스크립트 확장자 파일 중 적어도 하나를 추출하여 웹쉘 시그니쳐 포함여부를 판단하고,
상기 스크립트 확장자 파일에 관한 리스트를 사용자에게 제공하고, 사용자는 상기 스크립트 확장자 파일 리스트에 포함된 스크립트 파일을 활성 스크립트 확장자 파일 및 비활성 스크립트 확장자 파일로 구분하여 설정하는 제 3 부단계;를 포함하고
상기 제 3 단계는, 상기 활성 스크립트 확장자 파일에 대해 상기 웹쉘 시그니쳐가 포함되었는지를 판단하는 것을 특징으로 하는 웹셀 탐지 방법
|
21 |
21
삭제
|
22 |
22
제 18 항에 있어서, 상기 웹쉘 탐지 방법은,
웹쉘에 접근한 공격자에 대한 정보를 사용자에게 제공하는 제 5 단계를 더 포함하고,
상기 제 5 단계는, 웹서버에서 웹쉘 웹로그를 검색하는 제 1 부단계, 상기 웹쉘 웹로그 검색결과로부터 공격자 IP를 추출하는 제 2 부단계 및 상기 추출된 공격자 IP를 통해 웹로그를 재검색하는 제 3 부단계를 더 포함하는 것을 특징으로 하는 웹쉘 탐지 방법
|
23 |
23
제 18 항에 있어서, 상기 웹쉘 탐지 방법은,
파일 전체 경로, 파일 크기, 파일 수정된 시간 또는 매칭된 시그니쳐 정보 중 적어도 하나를 포함하는 탐지된 웹쉘 정보를 사용자에게 보여주는 제 6 단계;
상기 탐지된 웹쉘에 대한 소스코드를 사용자에게 제공하고, 웹쉘 시그니쳐라고 판단된 소스코드에 대해서는 부각하여 사용자에게 보여주는 제 7 단계; 및
상기 탐지된 웹쉘을 삭제하는 제 8 단계를 더 포함하여 구성되는 것을 특징으로 하는 웹쉘 탐지 방법
|