'네트워크 패킷 분석 및 멀웨어 분석'에 해당되는 글 4건

1. HTTP란? 

- www 상에서 정보를 주고 받을 수 있는 프로토콜

- 주로 HTML 문서를 주고 받을 때 쓰임

- TCP 80번 포트를 사용

- HTTP는 클라이언트와 서버 사이에서 이루어지는 요청/응답 프로토콜

2. DNS란?

- 도메인 네임 시스템의 약자

- 호스트의 도메인 이름을 호스트의 네트워크 주소로 바꿔 수행

- 특정 컴퓨터의 주소를 찾기 위해 사람이 이해하기 쉬운 도메인 이름을 IP주소로 전환

- 예를 들어 www.daum.net->192.168.57.101로 전환시켜주는 역할을 함

3. HTTP, DNS 프로토콜 패킷 분석 실습

그림 1-1 DNS 패킷 

그림 1-1은 DNS 패킷 전송 상태다. dns를 입력하고 필터링하면 그림 1-1과 같은 결과가 나타난다. 패킷을 분석해봤을때 www.kali.org 등과 같은 URL을 전송하고 있는 것으로 파악되며 A는 ipv4, AAAA는 ipv6를 요청한다. 그림 1-1에서 주로 받는 요청은 ipv4로 파악된다.

그림 1-2 HTTP 패킷 (1)

그림 1-2는 HTTP 패킷 전송 상태다. http를 입력하고 필터링하면 그림 1-2와 같은 결과가 나타난다. 현재 daum.net에 접속해 요청값을 보낸 상태고 쿠키 값까지 있는 상태임을 확인할 수 있다. 쿠키 값을 탈취하게 되면 여러 해킹 범죄에 사용될 수 있기 때문에 항상 주의해야 한다. 쿠키 값은 서버가 클라이언트에게 주는 고유의 값이다.

그림 1-3 HTTP 패킷 (2)

그림 1-3은 그림 1-2에서 요청값을 보내고 어떤 응답을 주는지 알아보기 위해 다음 패킷값을 봤다. 패킷에는 302 object Moved라는 메시지가 나오는데 HTTP 302는 요청한 리소스가 임의적으로 새로운 URL로 이동했음을 나타낸다. 그림 1-2와 그림 1-3을 종합하면 daum.net은 잘못된 페이지기 때문에 www.daum.net으로 이동해야 한다고 알려주고 있는 상태다.

그림 1-4 HTTP 패킷 (3)

그림 1-4는 그림 1-3에서 잘못된 페이지에서 올바른 페이지로 이동한 결과다. 쿠키 값을 그대로 유지하면서 www.daum.net으로 이동된 상태를 나타내고 있다.

그림 1-5 HTTP 패킷 (4)

그림 1-5는 웹 요청의 메소드 검색으로 POST 파일 업로드 확인이 가능하다. http.request.method==POST를 입력하고 검색하면 447번에서 TCP Stream을 실행한다.

그림 1-6 TCP Stream 실행 결과

TCP Stream 실행 결과 divname으로 여러 파일들이 업로드 되었다는 것을 확인할 수 있다. 총 6개의 파일이 올라간 것으로 추정할 수 있다.

1. ARP 프로토콜이란?

- 호스트 A가 호스트 B에게 IP 패킷을 전송할때 호스트 B는 네트워크 주소를 모른다고 가정

- ARP 프로토콜을 사용해 호스트 B는 자신의 IP 주소가 목적지에 있는 ARP 패킷 수신

- 자신의 물리주소(Mac Address)를 A에게 응답해줌

- ARP 프로토콜과는 반대로 IP 호스트가 자신의 물리 네트워크 주소(Mac Address)는 알지만 IP    주소를 모르는 경우엔 RARP 프로토콜을 사용함

<사진출저: 보안프로젝트>

2. ICMP 프로토콜이란?

- IP는 최선형 전달 서비스만 지원되서 IP 패킷이 전송되는 목적지엔 전달되지 못함

- 오류에 대한 보고, 네트워크 상태 진단 등을 하기 위해 고안된게 ICMP 프로토콜

- ICMP는 IP로 캡슐화되 IP 헤더의 프로토콜 필드값을 1로 설정해 ICMP 메시지라고 나타냄

3. ARP, ICMP 프로토콜 패킷 분석 실습

그림 1-1 ARP 프로토콜 패킷 (1)

#3 arp&icmp.pcap 파일을 열고 arp를 입력해 패킷을 필터링한다. 첫번째 Broadcast 정보를 보면 송신자의 Mac 주소와 IP주소는 모두 확인되지만 수신자 IP 주소는 확인 되지만 Mac 주소는 확인이 되지 않는다. Broadcast에선 누가 192.168.187.131 정보를 가지고 있는지 묻고 있으며 192.168.187.128이 정보를 가지고 있다고 응답하고 있다.

그림 1-2 ARP 프로토콜 패킷 (2)

다음 응답 내용을 보면 그림 1-1과는 다르게 수신자의 Mac 주소가 정상적으로 포함되 있음을 볼 수 있다. ARP 프로토콜을 통해 응답을 한 결과다.

그림 1-3 ICMP 프로토콜 패킷 

icmp를 입력해 패킷을 필터링 하면 그림 1-3과 같이 icmp 패킷에 관련된 내용들이 나온다. 192.168.187.128이 192.168.187.2에게 질의를 하고 192.168.187.2가 응답하고 있다. 패킷 내용을 보면 ttl=128이라고 나와있는데 ttl은 time to live의 약자다.  ttl 128번은 윈도우를 뜻하므로 윈도우쪽에서 송수신이 일어나고 있음을 알 수 있다.

1. FTP 프로토콜이란?

- 파일 전송 프로토콜

- TCP/IP 프로토콜을 가지고 서버와 클라이언트 사이의 파일 전송을 하기 위한 프로토콜

- 응용계층에 속함

- 제어용으로 21번 포트, 데이터 전송용으로 20번 포트 주로 사용

2. FTP 프로토콜 패킷 분석 실습

그림 1-1 FTP 통신 패킷

#2 ftp.pcap 파일을 열고 ftp를 입력해 패킷을 필터링 한다. 필터링 된 패킷 중에서 TCP Stream을 실행시켜 자세한 패킷 정보를 확인한다. 패킷 정보를 분석해보면 User, password 정보를 확인할 수 있고 성공적으로 로그인 되었다는 것을 확인할 수 있다. 현재 열린 포트 정보를 알려주고 어떤 포트를 열지 물어보고 있다. 원하는 포트를 열고 LIST 시스템 함수를 이용해 목록을 보고 있다. 그 안에서 TYPE 1을 요청하고 어떤 포트를 열지 물어보고 있다. 원하는 포트가 열리고 Sysmon64.exe 파일이 저장되어 있음을 볼 수 있다. 그리고 또 다른 포트를 열고 telnet.pcapng라는 파일을 저장한 후 종료하고 있다.

그림 1-2 ftp-data 패킷

ftp-data를 입력하고 패킷을 필터링한다. ftp-data는 TCP Stream을 할 시 정보들이 깨져서 나오기 때문에 아주 자세한 정보는 확인이 불가능하다. 현재 그림 1-2에는 Sysmon.exe 파일이 있음을 확인 가능하다.

그림 1-3 ftp.request.command==RETR 

ftp.request.command==RETR를 입력해 패킷을 필터링하면 그림 1-3과 같이 FTP 서버에서 파일을 가져올 수 있다. RETR이 서버에서 파일을 가져오는 명령어다. 이 패킷에서 TCP Stream 정보에서 Save as...를 실행해 데이터를 복원한다.

그림 1-4 데이터 복원 결과

Save as...를 실행해 데이터를 복원한 결과 인덱스가 211번 정보로 파악했다. 파악 후 ftp-data 필터를 하면 216번 정보가 나온다. 216번 정보에서 Sysmon64.exe를 다운 받은 패킷을 찾을 수 있다.

그림 1-5 216번 정보 TCP Stream

216번 정보 TCP Stream 결과다. ftp-data 정보기 때문에 어떤 정보인지는 알 수 없다. TCP Stream 정보 창에서 Save as..를 실행해 데이터를 복원한다. 복원시 파일 이름은 Sysmon64.exe로 한다.

그림 1-6 파일 복원 결과

Sysmon64.exe 파일 복원 결과다. 데이터를 복원해 외부에 유출된 파일을 확인할 수 있다.

1. Telnet 프토토콜이란?

- 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 프로토콜

- 프로토콜의 클라이언트 일부 기능이 추가된 소프트웨어

- 23번 포트 주로 사용

- 보안에 대한 취약점이 많아 현재는 감소 상태고, 원격제어로 SSH로 대체함

2. Telnet 프로토콜 패킷 분석 실습

그림 1-1 TCP Stream (1)

#1 telnet.pcap 파일을 열어 telnet을 입력해 필터링을 걸어준 후 필터링 걸린 패킷들중에 선택해 TCP Stream을 연다. TCP Stream을 열어 정보를 분석해보면 현재 DISPLAY.kali:0은 서버, Welcome to Microsoft Telnet은 클라이언트다. 현재 서로 통신하며 데이터를 주고 받는 상태다. 어떤 페이지에 로그인을 시도 했을 시에 글자가 2개씩 입력되는 현상이 일어나는데, Telnet 프로토콜 특성상 일어나는 echo 현상이다. Telnet의 최대 단점은 네트워크 평문 전송과 교환을 하기 때문에 로그인, 패스워드 정보가 그대로 노출되는 것이다.

그림 1-2 TCP Stream(2)

TCP Stream을 열어 아래로 내리면 무언가를 cmd에서 계속 검색했다는 흔적이 남아있다. 그림 1-2에서도 cmd에서 명령어를 입력했을시 계속 Echo 현상이 일어나고 있음을 볼 수 있다.