와이어샤크(Wireshark) 분석을 해보자!
- Packet Filter
- Display Filter
- Coloring
- Mark
- 패킷 검색
- 요약 기능
- 악성코드 샘플 분석 사이트
- 패킷에 comment 추가하기
- 원하는 패킷만 선택하여 분석하기
- 가상머신 환경에서 발생하는 공격 패킷 캡처
- Merge 기능으로 패킷 합치기
1. 소개
Packet Filter
캡쳐할 때 패킷 필터 설정해야 한 눈에 보고 분석하기 좋음.
(프리미티브) (연산자) (프리미티브)
host kali : 이름 기반으로 할 수도 있음
출발지(src), 목적지(dst)
!port = not port
Display Filter
화면필터와 패킷필터는 다른 것
패킷필터가 조금 더 간단함. 미리 필터를 적용하여 원하는 것만 볼 수 있는 것.
화면필터는 전부 보여준 후에 보려는 것만 필터링하여 보여줌.
ip 옵션 : addr / dst_host
frame 옵션 : len ..
연산자 and or xor not 지원함.
Coloring
컬러링 : 패킷 분석에 용이하게 하기 위함
View > Coloring Rules : 컬러링 확인
Mark
마크 : Mark/Unmark Packet(Ctrl+M) 분석할 때 특정 패킷을 쉽게 찾기 위해 표시해 놓는 것.
Edit > Next Mark(Ctrl+Shift+N)
Print > Marked packets only ; 마크한 패킷만 출력할 수 있음
패킷 검색
Edit > Find Packet(Ctrl+F)
display filter
string(Packet list/details/bytes) : 문자열 검색
case sensitive : 대소문자 구분
요약 기능
Statistics > HTTP, IPv4 Statistics 주로 사용
HTTP
- Packet Counter : 상태 코드. 200 정상 접근. 404 없는 페이지. 500 SQL injection 공격 여부.
- Requests : 요청 기준으로 나열.
IPv4 Statistics
- Destinations and Ports : 포트 별로 확인 가능
악성코드 샘플 분석 사이트
https://www.malware-traffic-analysis.net/
malware-traffic-analysis.net
www.malware-traffic-analysis.net
패킷에 comment 추가하기
마우스 오른쪽 클릭 > Packet Comment
원하는 패킷만 선택하여 분석하기
원하는 패킷들을 Mark > File > Export Specified Packet > Marked packets 클릭 후 저장
가상머신 환경에서 발생하는 공격 패킷 캡처
기본적으로 host os에서 동작하는 것을 캡처하려면 인터페이스는 Wi-Fi로 선택
가상머신 > Virtual Network Editor > NAT 환경에서 어떤 이더넷을 사용하고 있는지 확인
Wireshark에서 확인한 인터페이스를 선택
Merge 기능으로 패킷 합치기
File > Merge
Prepend packets to existing file : 추가로 합칠 패킷이 기존 패킷의 앞에 위치
Merge packets chronologically : 합칠 패킷과 기존 패킷이 모두 시간대별로 위치
Append packets to existing file : 추가로 합칠 패킷이 기존 패킷의 뒤에 위치
2. 실전 패킷 분석
HTTP 퍼센트가 높은 것을 알 수 있음
> 웹페이지에서 정보를 가져올 때 Line-based text data로 분류됨
> Media Type은 첨부파일을 통해 어떤 파일이 올라가는 경우, 퍼센트가 높으므로 의심할 필요가 있음
sql 인젝션이나 브루트포스 공격은 대부분 5xx이나 4xx로 분류됨
> 수가 적으므로 정상 페이지로 공격을 시도한 것을 알 수 있음
다양한 정상 도메인 아래에 의심되는 2개의 웹페이지가 있음
> 8180 포트에서 업로드에 관련된 행위를 발견
> attack, shell.jsp 등 공격한 것 같은 패턴을 발견
의심가는 포트 검색
152 에서 133 으로 접속한 것을 볼 수 있음
> 152가 공격자, 133가 공격당 서비스라고 볼 수 있
관리자 페이지에 접근한 것을 알 수 있음
침해사고 분석 실무에서도 많이 경험하는 페이지
WAS를 설치한 후, 8180 포트를 접근제어 하지 않았을 때
> 관리자 페이지 접근
> 첨부파일에 WAR 파일(웹쉘)을 업로드
> 공격 시도
현재 웹쉘 동작 중인 것을 알 수 있음
1. 공격에 성공한 공격자 IP
192.168.206.152
2. 공격자 이외 서비스에 접근한 IP
3. 공격자가 시스템에 침투하기 위해 접근한 서비스 포트
8180 포트
4. 공격자가 어떤 취약점을 이용한 것인지
5. 공격자가 리버스 공격을 하기 위해 사용한 포트
6. 공격자가 올린 웹쉘의 이름과 MD5 해시값
7. 공격자가 웹쉘을 올린 뒤에 사용한 명령어
ps -aux
ls -al
3. 취약점 공격 패킷 분석 사례
웹 취약점 진단 도구 - arachni, Nikto, WPScan(워드프레스 취약점 찾는 도구)
시스템, 웹 취약점 도구 - Nessus
파일 업로드 취약점 - Weevely
'Computer > Network' 카테고리의 다른 글
| Network Attack Traffic Analysis 2 (0) | 2024.02.15 |
|---|---|
| Network Attack Traffic Analysis 1 (2) | 2024.02.15 |
| OSI 7 Layer (0) | 2024.02.05 |
| 네트워크 개요 (0) | 2023.10.21 |