기술문서 2016-10-25 프로젝트 최종보고서 작성자 : 프로젝트 KITRI 제 13 기모의해킹과정 김남용 2
개정이력 개정번호개정내용요약개정일자 1.0 최초제정승인 2016-10-25 1.1 단어수정 2016-10-25 문서규칙 quiz 프로젝트최종보고서 첨부파일버젂문서최종수정일 1 2 3 4 작성및확인은 Microsoft Word 2007으로작성되어졌으며, Acrobat Reader로읽는다. (1) 에는 Manual, Utility, Tip, Analysis Report 로구분하며, 기재된정보가 Manual과 Utility가혼합된경우에는 "Manual + Utility" 라고표기되며, 머리글의 에해당구분정보를표기된다. 본문서의주제가되는대상은오른쪽큰여백에기재된다. (4) 첨부파일버젂 (2) 은첨부파일이존재하는경우에기재되며, 첨부파일의버젂이표기된다. ( 유틸리티의경우최종버젂은날짜표기대신버젂으로대체한다 ) 문서최종수정일 (3) 에는문서의최종수정날짜가표기된다. 3
목차 1. 개요... 6 가. 의의... 6 나. 목적... 6 2. 프로젝트분석과정... 6 가. 분석환경... 6 나. 분석도구... 6 다. 분석도구활용... 7 1) WireShark 사용... 7 3. 패킷분석사례... 8 가. 문제풀이... 8 1) 공격자호스트의 IP 주소는무엇인가?... 8 2) 대상호스트의 IP 주소는무엇인가?... 8 3) 열려있는 Port는무엇인가?... 9 4) 공격자는어떠한 Port를통해접근하였는가?... 10 5) 의심되는 Packet을확인하여시간흐름에맞춰사건을재구성하시오 (ex : 어떠한파일을사용하여무엇을어떻게하였다등등..)... 11 4. 결론... 19 5. 참고문헌... 19 4
그림목차 [ 그림-1. WireShark]... 7 [ 그림-2. 공격자호스트 IP 주소 ]... 8 [ 그림-3. 대상자호스트 IP 주소 ]... 8 [ 그림-4. 열려있는포트 ]... 9 [ 그림-5. 열려있는포트 ]... 9 [ 그림-6. 열려있는포트 ]... 9 [ 그림-7. 공격자가접속한 port]... 10 [ 그림-8. 공격자가접속한 port]... 10 [ 그림-9. 공격자와대상자호스트 IP 주소확인 ]... 11 [ 그림-10. 열려져있는포트확인 ]... 11 [ 그림-11. FTP포트를통한접속 ]... 12 [ 그림-12. FTP포트에서패스워드확인 ]... 12 [ 그림-13. FTP포트루트접속확인 ]... 13 [ 그림-14. FTP포트수동모드와전송된파일확인 ]... 14 [ 그림-15. FTP포트를통해전송된파일확인 ]... 14 [ 그림-16. FTP포트능동모드확인 ]... 15 [ 그림-17. FTP포트능동모드확인 ]... 15 [ 그림-18. FTP포트능동모드확인 ]... 16 [ 그림-19. TELNET포트접속확인 ]... 16 [ 그림-20. TELNET포트접속후데이터확인 ]... 17 [ 그림-21. TELNET포트데이터전송확인 ]... 18 [ 그림-22. TELNET포트공격자데이터확인 ]... 18 5
1. 개요 가. 의의 프로젝트를통한패킷분석프로젝트작성 나. 목적 wireshark 분석하는방법을알아본다. 패킷분석을통한문제풀이와프로젝트경험을쌓는다. 효율적인툴의사용예시를보여준다. 분석과정을바탕으로파일분석과정을정리하여제시한다. 2. 프로젝트분석과정 가. 분석환경 VMWare 11.0 Windows XP SP3 32bit 나. 분석도구 명칭설명 UI WireShark 패킷분석을통한분석과정정리 다운로드사이트 6
다. 분석도구활용 1) WireShark 사용 패킷분석하기위해먼저 wireshark 다운받은후압축을해제하면 [ 그림 -1] 의파일들을확인할수 있다. [ 그림 -1. WireShark] WireShark 를다운로드를통해분석을시작할수있습니다. 7
3. 패킷분석사례 가. 문제풀이 1) 공격자호스트의 IP 주소는무엇인가? [ 그림 -2. 공격자호스트 IP 주소 ] 계속적인포트스캔으로 192.168.21.130 -> 192.168.21.132 스캔공격하는모습을보여준다. 2) 대상호스트의 IP 주소는무엇인가? [ 그림 -3. 대상자호스트 IP 주소 ] 계속적인포트스캔으로 192.168.21.132 -> 192.168.21.130 공격받는모습을보여준다. 8
3) 열려있는 Port 는무엇인가? [ 그림 -4. 열려있는포트 ] [ 그림 -5. 열려있는포트 ] [ 그림 -6. 열려있는포트 ] 열려있는포트들은 20,21,22,23, 25,111,113,1010,13282,26335,46658,56523,39813,39814,39819 으로 찾았으며, tcp.flags.ack==1&&tcp.flags.syn==1 을통해 tcp 의 syn,ack 를같이보낸것들만필터하였 으며, 요청과응답같이있는것들을모아보니위와같은포트들이열려있습니다. 9
4) 공격자는어떠한 Port 를통해접근하였는가? [ 그림 -7. 공격자가접속한 port] [ 그림 -8. 공격자가접속한 port] 위그림과같이 FTP(21 포트 ), TELNET(23 포트 ) 을통해접속을하였으며, 2 가지의접속포트를이용하 여공격을하였습니다. 10
5) 의심되는 Packet 을확인하여시간흐름에맞춰사건을재구성하시오 (ex : 어떠한파일을사용하 여무엇을어떻게하였다등등..) [ 그림 -9. 공격자와대상자호스트 IP 주소확인 ] 젂체 Packet 을확인해본결과처음시작은 tcp 포트스캔을통해공격자는대상자에게스캔공격을 시작하였다. [ 그림 -10. 열려져있는포트확인 ] 공격자는포트스캔을통해대상자의열려있는포트들을확인하였습니다. 11
[ 그림 -11. FTP 포트를통한접속 ] FTP 21 포트를이용하여접속을시도하며 root 패스워드찾기 ( 가장자주사용하는사젂대입공격 ) 를 계속적시도를한다. [ 그림 -12. FTP 포트에서패스워드확인 ] Root 패스워드찾기를통해서 user:root 와 password:toor 를발견하였고, 그것을이용하여 root 권한 접속에성공합니다. 12
[ 그림 -13. FTP 포트루트접속확인 ] FTP 포트를통해루트에접근한모습입니다. 13
[ 그림 -14. FTP 포트수동모드와전송된파일확인 ] PASV 수동모드를통해공격자 ip 에서대상자 ip 로 STOR( 젂송 ) 을통해 ish-v0.2.tar.gz 이젂송되었음을 보여줍니다. [ 그림 -15. FTP 포트를통해전송된파일확인 ] 상대 ftp 포트를통해 ish-v0.2.tar.gz 의파일을공격호스트 ip 로젂송하였습니다 14
[ 그림 -16. FTP 포트능동모드확인 ] [ 그림 -17. FTP 포트능동모드확인 ] 15
[ 그림 -18. FTP 포트능동모드확인 ] ftp 패킷에서수동모드에서능동모드로젂환되었다 [ 그림 -19. TELNET 포트접속확인 ] 그리고 telnet 23 번포트를통해 centos 로들어가 root 계정접속하였던모습이나타났다. telnet data 젂송내역을확인해보면밑에그림과같다. 16
[ 그림 -20. TELNET 포트접속후데이터확인 ] 은닉채널 (Covert Channel) 을이용한 icmpshell 백도어사용방법입니다. 공격자 ip가대상자ip로 ftp에서젂송해두었던 ish-v0.2.tar.gz을 tar-zxvf명령어로압축을풀었으며, centos에서 make 와 make linux 명령어로컴파일을한다. 압축을푼디렉토리로경로이동한다. cd ISHELL-V0.2./ishd -i 65535 -t 0 -p 2621 를통해포트 2621을통해 icmpshell 백도어실행됩니다. 17
[ 그림 -21. TELNET 포트데이터전송확인 ] [ 그림 -22. TELNET 포트공격자데이터확인 ] 공격자용컴퓨터 Kali 에서대상자 centos 에접속하여 su root 권한상승하고 pwd 또는 ls 등.. 을통 해대상자의 PC 정보들을모두확인하는모습이다. 18
4. 결론 - 문제를통해패킷분석을자세히알게되었으며, 젂체적인문서작성방법까지도움이되었습니다. - 공격자의움직임의패턴을알수있었으며, 무엇을순서대로하였는지자세히알아볼수있었습니다. 5. 참고문헌 http://www.naver.com 네이버의힘 http://www.google.com 구글링의힘 19