공격자들이 Extension Spoofing을 사용하는 방법과 이를 막기 위해 내가 만든 도구
발행: (2026년 2월 9일 오전 10:02 GMT+9)
2 분 소요
원문: Dev.to
Source: Dev.to
무엇을 하는가
- inotify(Linux) 또는 watchdog(Windows)를 사용해 파일 생성/수정을 모니터링합니다.
- 파일 확장자가 실제 매직 넘버와 일치하는지 검증합니다(예:
invoice.pdf가 실제 PDF인지 확인). - 일치하지 않는 파일을 자동으로 격리합니다.
- Splunk, ELK, Wazuh 등과 호환되는 SIEM‑ready JSON 로그를 출력합니다.
- SHA‑256 해시와 사용자 attribution을 포함합니다.
왜 만들었는가
랜섬웨어 및 기타 악성코드는 실행 파일의 이름을 단순히 바꾸는 방식(예: malware.exe → invoice.pdf)으로 탐지를 회피합니다. 이 도구는 실시간 검증을 제공하여 이러한 확장자 스푸핑을 차단합니다.
설치
Linux
curl -sSL https://raw.githubusercontent.com/AnasRm01/file-validator/main/install.sh | sudo bashWindows
- 저장소에서
install-windows.bat파일을 다운로드합니다. - 관리자 권한으로 배치 파일을 실행합니다.
사용 사례
- 웹 서버 업로드 디렉터리(예:
/var/www/uploads) - 공유 네트워크 드라이브
- 직원 “Downloads” 폴더
- 규정 준수 로깅(PCI‑DSS는 파일 무결성 모니터링을 요구)
성능
- 메모리 사용량: <10 MB RAM
- CPU 영향: <1 %
- 이벤트 기반 아키텍처(지속적인 스캔 루프 없음)
- CentOS, Ubuntu, Windows 10/11에서 테스트됨
소스 코드
피드백을 환영합니다! 추가해야 할 파일 유형이 있나요?