Netwrok Packet Forensic Frist Time(Basic) Presenter. Seongjin Hwang 1
Contents Install(HxD-hex viewer, Wireshark packet analysis) Pcap Fomat Analysis to packet FTP, Magic Number, Back door Presenter. Seongjin Hwang 2
HxD Install 3
Wireshark Install 4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
Wireshark 정상구동확인 21
22
23
24
25
26
PCAP 포맷 27
PCAP - File Format of Wire Shark 와이어샤크는윈도우상에서 Winpcap 라이브러리를사용해서패킷을수집하며, 유닉스계열에서는 Libpcap 을사용하여패킷을수집하게된다. 이때수집된데이터포맷은 PCAP 이라는파일포맷을가지고있다. Global Header Packet Header Packet Data Packet Header Packet Data PCAP File Format 28
Structure of Global Header Global Header 구조체 typedef struct pcap_hdr_s { guint32 magic_number; /* magic number */ guint16 version_major; /* major version number */ guint16 version_minor; /* minor version number */ gint32 thiszone; /* GMT to local correction */ guint32 sigfigs; /* accuracy of timestamps number */ guint32 snaplen; /* max length of captured packets */ guint32 network; /* data link type */ } pcap_hdr_t; 29
Structure of Packet Header Packet Header 구조체 typedef struct pcapec_hdr_s { guint32 ts_sec; /* imestamp seconds */ guint32 ts_usec; /* timestamp microseconds */ guint32 incl_len; /* number of octets of packet saved in file */ guint32 orig_len; /* actual length of packet */ } pcap_hdr_t; http://wiki.wireshark.org/development /LibpcapFileFormat 30
Analysis of Structure PCAP 파일포멧 Hex Editor 로저장된 PCAP 파일을오픈해보자 해당값을통해 PCAP 파일포맷임을알수있다. 한가지흥미로운사실은 ABCD 와 1234 를역으로합쳐놓은값이라, 기억하기쉬울것이다. 31
Analysis of Structure PCAP 파일포멧 두번째및세번째의 Major/Minor 버전정보는 2.4 버전임을보여준다. 32
Analysis of Structure PCAP 파일포멧 다음은 GMT 부분을의미하며, 기본값으로 0 값이세팅된다. GMT(Greenwich Mean Time) = 표준시 33
Analysis of Structure PCAP 파일포멧 다음은 accuracy of timestamps 필드로, 마찬가지로 0 값이세팅된다. 34
Analysis of Structure PCAP 파일포멧 수집된패킷길이를의미한다. 35
Analysis of Structure PCAP 파일포멧 Data link type 을의미하는것으로, Ethernet 은 1 값이세팅된다. http://www.tcpdump.prg/linktypes.html 36
Analysis of Structure PCAP 파일포멧 다음은 Packet Header 구조체값을확인해보자 첫번째 timestamp seconds 부분은와이어샤크부분에서 Epoch Time 부분의앞쪽의 10 진수로 1397269227 이며 16 진수로환산하면 53 48 A2 EB 가나와매치되는것을확인할수있다. 37
Analysis of Structure PCAP 파일포멧 다음은 Packet Header 구조체값을확인해보자 두번째 timestamp seconds 부분은와이어샤크부분에서 Epoch Time 부분의앞쪽의 10 진수로 297335000 이값은 77 89 04 00 값을 16 진수에서 10 진수로환산하였을때역시매치되는것을확인할수있다. 38
Analysis of Structure PCAP 파일포멧 세번째 number of octets of packet saved in file 필드부분은, 와이어샤크화면에서 Capture Length 부분이며 60 바이트이다. 마찬가지로이값을 16 진수로환산하면 3C 로변환이가능하다. 39
Analysis of Structure PCAP 파일포멧 마지막 actual length of packet 필드는와이어샤크화면에서 Frame Length 부분이며 60 바이트이다. 이를역시 16 진수로환산하면 3C 가되는것을확인할수있다. 40
Analysis of RAW Packet 41
Analysis of Raw Packet RAW 패킷분석 FF FF FF FF FF FF 는브로드캐스팅인경우에발생된다. 즉상대방의 MAC 주소를모르는경우전체시스템에게발송하는경우에사용된다. 42
Analysis of Raw Packet RAW 패킷분석 C0 C1 C0 89 50 F1 는발신자 MAC 주소이다. 43
Analysis of Raw Packet RAW 패킷분석 0806 은이더넷패킷다음에오는프로토콜정보를알리는값이며, 기타아래와같은값들이사용될수있다. 번호 헤더 0806 ARP 헤더 0835 RARP 헤더 0800 IP 헤더 이제이더넷헤더다음에오는헤더는 0806 이라는값을통해 ARP 헤더가오는것을알수있다. 44
Analysis of Raw Packet RAW 패킷분석 첫번째 Hardware Type 은요청된하드웨어종류를나타내는값으로 00 01 이세팅되어있다. http://www.networksorcery.com/enp/protocol/arp.htm#hardware%20type 이표를참조하면 01 은 Ethernet 임을알수있다. 45
Analysis of Raw Packet RAW 패킷분석 다음 protocol type 은 IP 를알리는 08 00(0x0800) 아세팅되어있다. 값 0x0800 0x0806 0x8035 0x809B 0x80F3 0x8137 설명 IP ARP RARP AppleTalk AppleTalk ARP Netware IPX/SPX 46
Analysis of Raw Packet RAW 패킷분석 Hardware Address Length 는 MAC 주소의길이 06 이세팅됩니다. 바이트단위이므로이를비트로환산하면 6x8 = 48 비트가된다. Protocol Address Length 는 IP 주소길이 04 가세팅된다. 이를비트로환산하면 32 비트이다. 47
Analysis of Raw Packet RAW 패킷분석 OPCODE 는 ARP 의종류를의미하는값이세팅된다. 아래의표를참조하면 00 01 이므로 Request 임을알수있다. 값 설명 0 Reserved 1 Request 2 Reply 3 Request Reverse 4 Reply Reverse 5 DRARP Request 48
Analysis of Raw Packet RAW 패킷분석 OPCODE 는 ARP 의종류를의미하는값이세팅된다. 아래의표를참조하면 00 01 이므로 Request 임을알수있다. 필드 Sender MAC Address 내용 C0 C1 C0 89 50 F1 Sender IP Address 75 11 C6 55 (117.17.198.85) Target MAC Address 00 00 00 00 00 00 Target IP Address 75 11 C6 2E (117.17.198.46) 49
FTP 패킷분석 50
Analysis of FTP Packet 1 2 Chapter_4.pcap 를로딩한후, [Statistics] 의 [conversations] 를클릭하자. 51
Analysis of FTP Packet 처음뜨는윈도우를보면 Ethernet: 1 탭으로설정되어있는것을 TCP 탭을선택한다. 52
Analysis of FTP Packet 해당세션중 port B 가 FTP 인라인을선택하고, 필터정책을수행한다. 53
Analysis of FTP Packet 정책적용방법은해당라인을마우스우클릭후 [Apply as Filter]->[Selected]->[A<->B] 를선택한다. 54
Analysis of FTP Packet 그러면위의그림과같이해당세션에대한정보를제공하며, 두번째창을통해해당프로토콜에대한상세정보를확인할수가있다. 55
Analysis of FTP Packet 2 1 3 Ethernet Header 필드 내용 1.Destination 1a:43:20:00:01:00( 목적지 MAC 주소 ) 2.Source 01:00:01:00:00:00( 송신지 MAC 주소 ) 3.Type IP( 이더넷헤더다음에오는헤더 ) 56
Analysis of FTP Packet IPv4 Header 필드 내용 Version 4 Header length 20byte Differentiated Services Field 0x00( 서비스종류없음 ) Total length 84( 헤더및데이터길이합산 ) Identification 0xa8c5( 패킷소속고유번호 ) Flags 0x00( 패킷분할 X) Fragment offset 0( 첫번째는항상값이 0임 ) Time to live 128 Protocol IPv6(IPv4 헤더다음에따라오는프로토콜 ) Header checksum 0xd95b( 헤더오류검증정보 ) Source 81.131.67.131 destination 192.88.99.1 57
Analysis of FTP Packet Fragment Offset 수신지의재배열하는과정에서각조각의순서를파악하는데사용된다. 예를들어 3 개로분할된경우, 첫번째조각은항상 0 으로세팅되며, 두번째조각은첫번째에서보낸패킷사이즈를세팅한다. 그리고세번째조각은두번째조각까지보낸패킷사이즈의합을세팅한다. 이와같이바로전까지보낸패킷사이즈의합을해당필드에세팅하게된다. 58
Analysis of FTP Packet IPv6 Header 필드 내용 Version 6 Traffic 0x00000000(IPv4의 Differentiated Services Field와유사한기능 ) Flow label 0x00000000( 실시간데이터 ( 음성, 화상 ) 서비스에대한품질세팅 ) Payload length 24(IP데이터길이 ) Next header TCP(IPv6 헤더다음에따라오는프로토콜 ) Hop limit 128(IPv4의 TTL과동일한기능 ) Source 2002:5183:4383::5183:4383 destination 2001:638:902:1:201:2ff:fee2:7596 59
Analysis of FTP Packet TCP Header 필드 내용 Source Port 1026 Destination Port 21 Sequence Number 0( 데이터순서를나타내는번호 ) Acknowledge Number 0일경우에는없음, 하지만있을경우엔다음에수신할데이터번호가세팅 Header Length 24byte(TCP 헤더길이 ) Flags 0x02(SYN만있는경우통신을최초요청하는단계임 ) Window Size 16384( 한번에수신가능한패킷사이즈 ) Checksum 0x0ad8( 헤더오류검증정보 ) Options 기타조정기능정보 60
Analysis of FTP Packet FTP 데이터해당필드에포함된 FTP 관련인증및데이터전송정보를파악하는방법중하나가 [Follow TCP Stream] 명령어를이용하는것이다. 특정라인 1 개를선택하고, 마우스오른쪽버튼을클릭하면, 명령어창이팝업되며, 이중에서 [Follow TCP Stream] 을선택한다. 그러면여러패킷에포함된정보를수집하여보여주기때문에, FTP 인증에사용하는정보및명령어등을 1 개화면에서보여주는기능이다. 61
Analysis of FTP Packet 필드 USER anonymous PASS IEUser@ Opts utf8 on Syst Site help 내용 Aninymous 계정을입력함 IEUser@ 암호를입력함잘못된명령어입력한상태임시스템타입을리턴함 Site 명령어는 site 다음의명령어를실행함 62
파일 Magic Number 63
File Magic Number 메신저는간단하게상대방과채팅을하거나, 파일등을첨부하여전송할수있는기능을제공한다. 그러나만약이러한내용을누군가가로채어볼수있다면어떠할까? 와이어샤크를통해메신저내용을분석하거나메신저를통해전송된파일등을 File Magic Number 를통해추출하는방법을알아도보록하자. 64
File Magic Number [Conversations] 를통한전체내용파악 세션별 [Follow Stream] 을통해통신내용분석 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 65
File Magic Number [Conversations] 를통한전체내용파악 메뉴 [statistics] [Conversations] 를클릭하고, 포트를이름으로보는대신번호로확인하기위해하단의 [Name Resolution] 을체크오프합니다. 66
File Magic Number [Conversations] 를통한전체내용파악 첫번째세션의경우, 통신의방향은 Port A 55488 에서 Port 22 로접속한다는것을알수있는데, TCP 22 번은 Telnet 등의평문데이터를보호하기위해암호화처리하는프로토콜이다. 67
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 하단의 [Follow Stream] 클릭을통해패킷수집내용을확인해보면, 암호화통신이기때문에문자열확인이불가능하다. 68
File Magic Number [Conversations] 를통한전체내용파악 두번째세션도, 통신방향은 Port A 54419 에서 Port 80(HTTP) 으로접속한다는것을알수있다. 69
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow stream] 값을확인하면, 아무런값이없는걸볼수있다. 70
File Magic Number 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 그럼마우스우클릭, [Apply as Filter]-[Selected]-[A<->B] 를클릭하자 71
File Magic Number 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 위에그림에서보이듯이 192.168.1.2 와 192.168.1.157 간 [SYN], [ACK], [SYN,ACK] 플래그로세션을맺는과정과 [FIN,ACK], [ACK], [FIN,ACK] 플래그로세션을종료하는과정이보일뿐, 데이터를송 / 수신하는과정이없는점을발견할수있다. 이는전형적인포트스캔의특징으로, 단지포트오픈여부를확인하는경우에흔히볼수있는패킷유형이다. 여기서도 80 번포트오픈정도만을확인한것으로가정해볼수있다. 72
File Magic Number [Conversations] 를통한전체내용파악 세번째세션도통신방향은 Port A 51128 에서 Port B 433(HTTPS) 으로판단할수있다. 73
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow stream] 으로확인해보면 HTTPS 통신임에도불구하고, 일부확인할수있는문자열등이보인다. 74
File Magic Number [Conversations] 를통한전체내용파악 네번째세션도통신방향은 Port A 1221 에서 Port B 433(HTTPS) 으로판단할수있다. 75
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 으로값을확인해보면확인할수있는평문값은보이질않는다. 다섯번째세션도통신방향은 Port A 1271 에서 Port B 433(HTTPS) 으로판단할수있다. 또한 [Follow Stream] 정보에서도확인할수있는평문정보는없다. 76
File Magic Number [Conversations] 를통한전체내용파악 포트 1272 에서 5190 으로접속한다는사실을확인할수있다. 세션분석을통해서도 192.168.1.159:1272 -> 192.168.1.158:5190 임을확인할수있다. 77
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 을통해확인해보면 OFT2 및 recipe.docx 등의정보가보이는것을알수있다. 78
File Magic Number 분석을통한파일추출 OFT2 packet 으로검색을해보면 AOL Instant Messenger 라는정보를제공하는데, 이를통해메신저프로그램을이용한통신임을가정해볼수있다. 79
File Magic Number 분석을통한파일추출 해당 [Follow Stream] 구조를다른포맷으로확인하여, 어던정보들의조합인지를쉽게확인해볼수있는데, 대표적인것이 Hex Dump 라는것이다. Hex Dump 를체크하고보면색상이다르게구분된것이총 4 개라는것을볼수있다. 80
File Magic Number 분석을통한파일추출 OFT2 는메신저통신내용으로 4 개중 3 개를차지하고있는데, OFT2 블록마다 recipe.docx 라는문자열이보인다. 여기서세번째블록에보이는 PK 라는문자열은 Magic Number 라는값이다. 81
File Magic Number 분석을통한파일추출 PCAP 포멧의구조체에서언급한 Magic Number 라고언급했었다. 파일포멧마다고유의 Magic Number 를가지고있어, 이를통해패킷내에포함된파일종류를확인하고, 추출해낼수가있다. http://www.garykessler.net/library/file_sigs.html 위의 URL 에서파일포멧의종류를검색해볼수있다. 82
File Magic Number 분석을통한파일추출 검색페이지에서 PK 의 16 진수값뒤에함께오는값을검색해보면, OFFICE 계열의포멧이라는것을확인할수가있다. 이로써해당블록이 OFT2 블록에서보였던 recipe.docx 라고가정하고접근해볼수있다. 83
File Magic Number 분석을통한파일추출 이제패킷에서파일 (recipe.docx) 을추출하기위해하단의파일포멧을 (Raw) 을선택하고, [Save as] 하여, recipe,docx 라는이름으로저장한다. 84
File Magic Number 분석을통한파일추출 이작업만으로파일이추출된것은아니며, 불필요한부분인 OFT2 블럭을제거해야만본래의 recipe.docx 를얻을수있다. 헥사에디터에서보이는 OFT2 블럭을삭제하기위해 PK 값이보이는위쪽부분을마우스로드래그하여선택하고 [Del] 버튼을통해삭제하면된다. 85
File Magic Number 분석을통한파일추출 블록을삭제하고저장한뒤 recipe.docx 파일을열면위의그림과같이 Recipe for Disaster 라는제목으로시작하는워드문서를확인할수있다. 86
File Magic Number [Conversations] 를통한전체내용파악 일곱번째세션의경우, Port A 1273 에서 Port B 80(HTTP) 으로접속하고있다는것을확인할수있다. 87
File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 을보면 at.atwola.com 사이트의 /adiframe/3.0/ 페이지에접속했으며, 해당페이지는경유지 (Referer) http://www.aim.com/redirects/.. 를통해서접속했었다는정보를얻을수있다. 88
백도어패킷분석 89
Analysis of Backdoor 백도어란? 컴퓨터시스템 ( 또는암호화시스템, 알고리즘 ) 의백도어 (backdoor) 는일반적인인증을통과, 원격접속을보장하고 plaintext 에의접근을취득하는등의행동을들키지않고행하는방법을일컫는다. By wiki [Conversations] 를통해확인해보면, 모든목적지포트가 80 번임을확인할수있다. 90
Analysis of Backdoor 앞서이용한방법들을이용하고자한다면 [Follow Stream] 하거나, 확인되지않은부분은 [Apply as Filter] 를적용하여상세하게프로토콜을분석해야한다. 하지만이번경우에는분석대상인 PCAP 파일의모든세션목적지포트가 80 번이기때문에다른분석방법을적용해보도록하겠다. 메뉴중 [Analyze] 의 [Expert Info] 을클릭하면해당접속했던모든웹페이지정보를확인이가능하다. 91
Analysis of Backdoor Line Number 14 해당화면에서해당페이지를펼치면 Packet 14 를확인할수있으며, 해당라인을선택후, 마우스오른쪽버튼을클릭하여 [Follow TCP Stream] 을진행한다. 92
Analysis of Backdoor Line Number 14 위의그림과같은페이지정보를확인할수있으나, 특이한정보는없다. 93
Analysis of Backdoor Line Number 167 앞선방법과같은방법을이용하여 167 번페이지정보를확인한다. 94
Analysis of Backdoor Line Number 167 내용을확인해보면, 사용자는게시판등에첨부된파일인 3121_update.zip 을요청하고있으며, 이에대해서버는 200 번응답코드로회신하였다. 즉사용자는해당파일을정상적으로다운로드받았다는사실을위내용을통해확인할수있다. 95
Analysis of Backdoor Line Number 167 여기서도 File Magic Number 를이용하여, 파일을추출하기위해, 화면아래의 [Raw] 부분을체크하고, 해당패킷을 update.zip 이라는이름으로저장한다. 96
Analysis of Backdoor Line Number 167 저장한 zip 파일을헥사뷰어로오픈한다. Zip 파일의 Magic Number 는 50 4b 03 04 이므로 PK 로시작되는이전부분을삭제하고저장한다. 97
Analysis of Backdoor Line Number 167 그럼위의그림과같이원본인 update.exe 을확인을할수가있다. 이제이파일이악의적인행동여부를확인하기위해, 악성코드분석가와리버싱같은전문기술이사용되어질수있지만리버싱은여기서다루기엔너무방대한분량이기때문에다른방법을이용하기로한다. 98
Analysis of Backdoor Line Number 167 http://anubis.iseclab.org 위 URL 주소로접속하여 update.exe 파일을업로드하고, 분석하도록하자. 그럼잠시뒤에 Submission Page 가뜨면서완료가될것이다. 99
Analysis of Backdoor Line Number 167 Summary 에이프로그램에대해안전성의총평이나와있는데이프로그램위험하다고알려주고있다. 100
Analysis of Backdoor Line Number 167 Ws2help.dll 은 TCP/IP 네트워크통신수행시어플리케이션에서사용되는라이브러리이다. 또한 WS2HELP.dll 은세션서비스와 TCP/IP 상에서데이터그램전송을위해사용되며, winsock 인터페이스를사용하는 FTP 도해당라이브러리를사용한다. 이와같이대부분이 TCP/IP 통신을수행하는프로그램임을짐작할수있다. 101
Analysis of Backdoor Line Number 167 이프로그램을실행시 TCP 4444 를오픈한다는의미이다. 즉 Listening 상태로대기하며, 외부에서요청시해당포트를통해세션을맺어관리자권한등을제공할수있으므로백도어역할을제공하게된다. 102
Analysis of Backdoor 악성코드의일반적인특징 감염 - 악성코드가사용자 PC 를감염시키기위해서는사용자의어떤행동즉, 이메일의첨부파일클릭, USB 사용, 웹페이지접속등의행동으로인해발생된다. 파일생성 - 감염이후에는악성코드파일을시스템에위치시키는데, 주로임시폴더에최초생성된악성코드를시스템폴더로복사하거나, 다른악성코드를인터넷에서다운로드받거나, 악성코드자신이가지고있는다른악성코드를만드는행위 (Drop) 를한다. 파일생성관련 API 는다음과같다. - CreateFile - ReadFile - WriteFile - Copy File - GetSystemDirectory - GetWindowsDirectory 파일다운로드 API 는다음과같다. - URLDownloadToFileA 103
Q & A 104
The end 감사합니다 105