[1]웹 해킹 시나리오

구성도

UTM

WAF

Adminconsole

업무 PC2대

DMZ(File Server, Web Server)

 

시나리오

1. 웹 취약점을 이용한 웹쉘 업로드

2. 피싱 사이트 링크 삽입 

3. 희생자가 사이트 접근

4. 피싱 사이트로 리다이렉트

 

1. 공격자가 사용한 피싱 도메인은?

user01 진입 - 웹 기록 보면 다른 피싱 사이트로 접근한 것을 확인 kisa.co.kn

 

cmd - nslookup 명령으로 다른 접근 주소 확인

ip가 다름

 

2. WAF 차단 정책 설정

adminConsole에 접속

 

WAF에서 로그 분석 -> 위에서 분석했던 ip를 보면 웹 취약점 탐지됨

정책 설정에서 차단모드 적용 후 도메인 정책에서 default에 차단으로 적용

 

3. 공격자 IP 차단

MF2 접속 >  방화벽 정책 성정 > 공격자 IP추가 후 양방향 정책 사용 거부

 

4. 웹쉘 삭제 및 백업 파일을 이용하여 웹서버 코드를 복원

웹서버 접속 > cd /var/www/tomcat7/webapps/ROOT > conf.jsp파일 보면 웹쉘 파일인 것을 확인

삭제하기

index.html 로그인 화면에 외부링크로 가는 href 확인

백업 파일로 zip을 풀어 복구하기