취약점 ) PHP.Diescan - die함수

PHP.Diescan

원격 코드 실행 취약점과 함께 PHP_diescan이 다수 탐지되고 있습니다.

 

xx.php, wc.php, s.php 등등.. 페이지에 POST 접속을 시도하는데

이때 body에 포함 값에 die함수 함수가 있습니다.

 

PHP_die() 함수가 포함된 패킷

 

die 함수 는 현재 실행중인 스크립트를 종료하고, 입력받은 인자를 출력하는 함수입니다.

 

PHP_die() 예제

보통 "bye~ PHP"까지 출력을 해야하지만 die()가 호출된 시점에서 스크립트가 종료됩니다.

 

 

FortiGuard를 통해 확인한 PHP_Diescan 정보

- HTTP Request에 PHP 코드를 악의적으로 사용하면서 탐지가 되었음. 

- 해당 공격을 통해서 공격자는 민감 정보를 취득할 수 있고, 그 정보를 통해서 추가적인 공격을 시도할 수 있음.

  출처 : https://fortiguard.com/encyclopedia/ips/47645

PHP.Diescan | IPS

 

FortiGuard Weekly Threat Brief (19/3/29)를 참고하면 IPS 탐지 순위 4위에 위치하였습니다.

 

FortiGuard_weekly_19_3_29

https://fortiguard.com/resources/threat-brief/2019/03/29/fortiguard-threat-intelligence-brief-march-29-2019

FortiGuard Threat Intelligence Brief - March 29, 2019

* 정확한 탐지 시그니처는 확인할 수 없지만, 패킷덤프 확인이 die()가 포함되어 있었습니다.

 

 

* 해당 공격의 경우

 - die 함수를 통해서 웹페이지를 스캔하면서, 원격 코드 실행과 같은 취약점을 확인하기 위한 사전 작업으로 보임.

 - diescan 이후 원격 코드 실행이 같이 탐지되는 것을 확인.

 - 지속적인 diescan을 시도하는 IP는 주의가 필요함.

 

 

 

* 참고 

 die(md5()) reqeuset에 대한 외국 개발자 이야기.

 (https://curiousprog.com/2018/10/03/a-wordpress-die-md5-exploit/)