보안관제사업본부 보안분석팀 장태용

1.  개요

웹 서버의 보안설정상 오류로 인해 디렉터리 리스팅이 노출되고 있는 경우, 해당 취약점을 이용하여 정보 수집 및 기타 공격을 시도하기 위한 접근을 탐지하는 방법에 대해 기술하고자 한다.

2. 디렉터리 리스팅

1) 설 명

최초 웹 서버 설정 시 기본 설정 또는 잘못된 구성에 의해 웹 폴더 내부에 웹 페이지가 없을 때 폴더 내부의 상•하위 디렉터리와 파일들이 노출되어 설치 구조와 중요 파일들에 대해 접근이 가능하다. 또한, 검색 엔진에 의하여 관련 정보가 수집되고 공개되어 기타 공격에 악용될 수도 있다. 조치 방법이 간단하여 과거보다는 근래에 찾아보기 힘든 취약점이지만, 그럼에도 불구하고 여전히 종종 발견되고 있는 것 또한 사실이다.

 
   [그림1] 디렉터리 리스팅

2) 공격 시나리오

① 검색 엔진 노출 or URL 직접 입력으로 디렉터리 리스팅 확인

② 웹 서버 디렉토리 구조 파악 및 실행 권한 있는 폴더 탐색

③ 웹 쉘 업로드 및 실행

 
   [그림2] 공격 시나리오

① 검색 엔진 노출 or URL 직접 입력으로 디렉터리 리스팅 확인

  [그림3] 디렉터리 리스팅 확인

② 웹 서버 디렉토리 구조 파악 및 실행 권한 있는 폴더 탐색

노출 된 파일들을 탐색하여 소스코드 노출, 취약한 WAS 기본 파일 등을 이용하여 공격 할 수도 있지만, 본 시나리오에서는 디렉터리 구조를 파악하여 파일을 실행 할 수 있는 권한이 존재하는 폴더를 찾는 것을 주 목적으로 한다.

  [그림 4] 업로드 폴더 확인

③ 웹 쉘 업로드 및 실행

실행 권한이 있는 폴더를 찾았다면, 해당 폴더에 경로 조작을 통하여 직접 업로드를 하거나, 파일 업로드 취약점을 이용하여 웹 쉘을 업로드 한 후 공격자가 실행 할 수 있다.

3. ESM 활용 방안

1) 보안 장비 룰 설정

보안 장비에서 디렉터리 리스팅을 탐지할 수 있는 간단한 방법으로 웹 서버가 클라이언트에 응답하는 페이지에 포함된 “index of”, “To parent Directory”, “부모 디렉터리로 이동” 문자열을 탐지하도록 룰을 등록한다. 이때, “부모 디렉터리로 이동”의 경우 보안장비에서 한글을 적절히 탐지하지 못한다면 “%eb%b6%80%eb …” 과 같은 HEX 값으로 등록을 하도록 한다.

 
  [그림 5] 보안장비 탐지 정책 등록

2) 연관성 분석 등록

① 연관성 분석 공통 항목 설정

설정 – 연관성 분석 – 연관성 등록(우클릭) – 공통 탭 – 적용 상태 및 경보명 설정

 
  [그림 6] 연관성 분석 공통 항목 설정

② 네트워크 이벤트 설정

이벤트 탭 – 네트워크 이벤트 탭 – Attack ‘1’ 설정 – Attack Signature 추가

  [그림 7] 네트워크 이벤트 조건 설정

3) 에이전트 적용

설정 – 연관성 분석 – 등록한 연관성 경보명(우클릭) – 에이전트 적용 – 보안장비 Agent 선택 및 적용

  [그림 8] 연관성 분석 에이전트 적용

4) 실시간 공격 탐지

앞서 디렉터리 리스팅을 탐지하기 위한 연관성 분석 룰 등록이 성공적으로 끝났다면, 직접 해당 웹 사이트에 디렉터리 리스팅을 시도 한다. 보안 장비에 등록한 시그니처가 탐지되어 실시간으로 이벤트가 발생하는 것을 [그림 9]에서 확인할 수 있다.

 [그림 9] 보안장비 실시간 탐지

5) 연관성 경보 발생

보안 장비에서 이벤트가 성공적으로 발생하고, ESM 연관성 분석 룰에 등록된 Attack Signature 값에 의해 [그림10]과 같이 연관성 경보가 발생한 것을 확인 할 수 있다.

​