ThreatHunting] 웹 서버에서 ZeroDay를 포착하는 방법?

웹 서버에서 Zeroday를 포착할 수 있는 방법.. 아마도 서버에서 동작되는 프로세스에서 의심스러운 자식프로세스들을 찾는 것이 Zeroday를 웹서버에서 포착할 수 있는 좋은 방법 중 하나이지 않을까 싶습니다. 

아래 Sigma 룰은 웹 서버에서 생성된 셸을 찾는 룰입니다. Carbonblack을 사용한다면 충분히 Watchlist를 적용하여 탐지할 수 있을 것으로 보이네요. Sigma기반의 EDR 을 사용한다면 아래 룰을 사용해도 좋습니다. 

GitHub - SigmaHQ/sigma: Generic Signature Format for SIEM Systems

 

그리고 아래 PDF문서는 NSA 문서로 Web shell 악성코드를 탐지하고 차단하는 방법에 대한 문서입니다. 개인적으로 Appendix B에 Splunk 쿼리를 사용하여 Splunk에 수집된 Apach, IIS 로그를 통해 웹서버의 수상한 행위들을 탐지하는 방법이 유용할것 같았습니다. (아무래도 Splunk를 여러 기업에서 많이 써서 그런걸까요... )

https://media.defense.gov/2020/Jun/09/2002313081/-1/-1/0/CSI-DETECT-AND-PREVENT-WEB-SHELL-MALWARE-20200422.PDF

모두들 Happy Hunting.