RCE(Remote Code Execution)는 원격에서 서버에 명령을 실행시키려는 공격으로, 웹 공격 중에서도 가장 위험도가 높은 유형에 속한다. 취약한 웹 애플리케이션이나 잘못된 입력 검증을 이용하여 시스템 명령을 실행하려는 시도가 특징이며, 보안관제에서는 발견 즉시 우선순위를 높게 두고 분석해야 한다.
wget, curl, /bin/sh, cmd.exe, powershell과 같은 문자열이
요청 URI 또는 파라미터에 포함된 경우 외부 파일 다운로드 또는 명령 실행 시도일 가능성이 있다.
공격자는 서버에서 명령 실행이 가능하다고 판단되면,
외부 서버에서 파일을 내려받기 위해 wget, curl을 사용한다.
- /bin/sh, /bin/bash
- cmd.exe, powershell
- wget, curl
URI, 상태코드, 반복성, 이후 외부 통신 여부를 함께 확인해야 한다.
RCE 의심 로그는 최우선 분석 대상이며, 반복 요청 및 200 응답 시 즉시 대응이 필요하다.