PowerPoint 프레젠테이션

Similar documents
Microsoft Word doc

TCP.IP.ppt

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

bn2019_2

Subnet Address Internet Network G Network Network class B networ

2009년 상반기 사업계획

Microsoft PowerPoint _TCP_IP

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

SMB_ICMP_UDP(huichang).PDF

슬라이드 1

1217 WebTrafMon II

일반적인 네트워크의 구성은 다음과 같다

Microsoft Word - src.doc

ISP and CodeVisionAVR C Compiler.hwp

PowerPoint 프레젠테이션

Windows 8에서 BioStar 1 설치하기

NTD36HD Manual

슬라이드 제목 없음

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

Install stm32cubemx and st-link utility

Network seminar.key

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

The Pocket Guide to TCP/IP Sockets: C Version

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

게시판 스팸 실시간 차단 시스템

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

Wireshark Part 2 1

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

System Recovery 사용자 매뉴얼

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

슬라이드 1

Studuino소프트웨어 설치

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

SRC PLUS 제어기 MANUAL

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

제20회_해킹방지워크샵_(이재석)

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

PowerPoint Template

gcloud storage 사용자가이드 1 / 17

Microsoft PowerPoint - tem_5

POC "Power of Community" 이민우 (lwmr)

6강.hwp

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Chapter11OSPF

ActFax 4.31 Local Privilege Escalation Exploit

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

ㅇ악성코드 분석

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

온라인등록용 메뉴얼

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft PowerPoint - Supplement-02-Socket Overview.ppt [호환 모드]

Assign an IP Address and Access the Video Stream - Installation Guide

을풀면된다. 2. JDK 설치 JDK 는 Sun Developer Network 의 Java( 혹은 에서 Download > JavaSE 에서 JDK 6 Update xx 를선택하면설치파일을

ARMBOOT 1

Microsoft Word - CPL-TR wireshark.doc

슬라이드 1

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

VZ94-한글매뉴얼


디지털영상처리3

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Secure Programming Lecture1 : Introduction

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

I would like to ask you a favor. Can you pick me up at the airport? ASAP P.S. RSVP BTW IMO ATM ETA

0. 들어가기 전

untitled

untitled

01장

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

Endpoint Protector - Active Directory Deployment Guide

<4D F736F F F696E74202D E20C0CEC5CDB3DD20C0C0BFEB20B9D720BCADBAF1BDBA20B1E2BCFA E >

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft Word - CPL-TR IETF-ID.doc

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

PowerPoint 프레젠테이션

Microsoft Word - NAT_1_.doc

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

Hackthepacket WriteUp ##DoubleB## LQ. telnet 은다보여 LEQ : telnet Hint : Key is telent Password FILE : 3.Q_2(Leopardan) Sol) Idea : 힌트에따라 TELNET 프로토콜을필터링

Hack the Packet 보고서 위 dj

PowerPoint 프레젠테이션

MF5900 Series MF Driver Installation Guide

PowerPoint Presentation

Orcad Capture 9.x

Windows Server 2012

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

Transcription:

Netwrok Packet Forensic Frist Time(Basic) Presenter. Seongjin Hwang 1

Contents Install(HxD-hex viewer, Wireshark packet analysis) Pcap Fomat Analysis to packet FTP, Magic Number, Back door Presenter. Seongjin Hwang 2

HxD Install 3

Wireshark Install 4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

Wireshark 정상구동확인 21

22

23

24

25

26

PCAP 포맷 27

PCAP - File Format of Wire Shark 와이어샤크는윈도우상에서 Winpcap 라이브러리를사용해서패킷을수집하며, 유닉스계열에서는 Libpcap 을사용하여패킷을수집하게된다. 이때수집된데이터포맷은 PCAP 이라는파일포맷을가지고있다. Global Header Packet Header Packet Data Packet Header Packet Data PCAP File Format 28

Structure of Global Header Global Header 구조체 typedef struct pcap_hdr_s { guint32 magic_number; /* magic number */ guint16 version_major; /* major version number */ guint16 version_minor; /* minor version number */ gint32 thiszone; /* GMT to local correction */ guint32 sigfigs; /* accuracy of timestamps number */ guint32 snaplen; /* max length of captured packets */ guint32 network; /* data link type */ } pcap_hdr_t; 29

Structure of Packet Header Packet Header 구조체 typedef struct pcapec_hdr_s { guint32 ts_sec; /* imestamp seconds */ guint32 ts_usec; /* timestamp microseconds */ guint32 incl_len; /* number of octets of packet saved in file */ guint32 orig_len; /* actual length of packet */ } pcap_hdr_t; http://wiki.wireshark.org/development /LibpcapFileFormat 30

Analysis of Structure PCAP 파일포멧 Hex Editor 로저장된 PCAP 파일을오픈해보자 해당값을통해 PCAP 파일포맷임을알수있다. 한가지흥미로운사실은 ABCD 와 1234 를역으로합쳐놓은값이라, 기억하기쉬울것이다. 31

Analysis of Structure PCAP 파일포멧 두번째및세번째의 Major/Minor 버전정보는 2.4 버전임을보여준다. 32

Analysis of Structure PCAP 파일포멧 다음은 GMT 부분을의미하며, 기본값으로 0 값이세팅된다. GMT(Greenwich Mean Time) = 표준시 33

Analysis of Structure PCAP 파일포멧 다음은 accuracy of timestamps 필드로, 마찬가지로 0 값이세팅된다. 34

Analysis of Structure PCAP 파일포멧 수집된패킷길이를의미한다. 35

Analysis of Structure PCAP 파일포멧 Data link type 을의미하는것으로, Ethernet 은 1 값이세팅된다. http://www.tcpdump.prg/linktypes.html 36

Analysis of Structure PCAP 파일포멧 다음은 Packet Header 구조체값을확인해보자 첫번째 timestamp seconds 부분은와이어샤크부분에서 Epoch Time 부분의앞쪽의 10 진수로 1397269227 이며 16 진수로환산하면 53 48 A2 EB 가나와매치되는것을확인할수있다. 37

Analysis of Structure PCAP 파일포멧 다음은 Packet Header 구조체값을확인해보자 두번째 timestamp seconds 부분은와이어샤크부분에서 Epoch Time 부분의앞쪽의 10 진수로 297335000 이값은 77 89 04 00 값을 16 진수에서 10 진수로환산하였을때역시매치되는것을확인할수있다. 38

Analysis of Structure PCAP 파일포멧 세번째 number of octets of packet saved in file 필드부분은, 와이어샤크화면에서 Capture Length 부분이며 60 바이트이다. 마찬가지로이값을 16 진수로환산하면 3C 로변환이가능하다. 39

Analysis of Structure PCAP 파일포멧 마지막 actual length of packet 필드는와이어샤크화면에서 Frame Length 부분이며 60 바이트이다. 이를역시 16 진수로환산하면 3C 가되는것을확인할수있다. 40

Analysis of RAW Packet 41

Analysis of Raw Packet RAW 패킷분석 FF FF FF FF FF FF 는브로드캐스팅인경우에발생된다. 즉상대방의 MAC 주소를모르는경우전체시스템에게발송하는경우에사용된다. 42

Analysis of Raw Packet RAW 패킷분석 C0 C1 C0 89 50 F1 는발신자 MAC 주소이다. 43

Analysis of Raw Packet RAW 패킷분석 0806 은이더넷패킷다음에오는프로토콜정보를알리는값이며, 기타아래와같은값들이사용될수있다. 번호 헤더 0806 ARP 헤더 0835 RARP 헤더 0800 IP 헤더 이제이더넷헤더다음에오는헤더는 0806 이라는값을통해 ARP 헤더가오는것을알수있다. 44

Analysis of Raw Packet RAW 패킷분석 첫번째 Hardware Type 은요청된하드웨어종류를나타내는값으로 00 01 이세팅되어있다. http://www.networksorcery.com/enp/protocol/arp.htm#hardware%20type 이표를참조하면 01 은 Ethernet 임을알수있다. 45

Analysis of Raw Packet RAW 패킷분석 다음 protocol type 은 IP 를알리는 08 00(0x0800) 아세팅되어있다. 값 0x0800 0x0806 0x8035 0x809B 0x80F3 0x8137 설명 IP ARP RARP AppleTalk AppleTalk ARP Netware IPX/SPX 46

Analysis of Raw Packet RAW 패킷분석 Hardware Address Length 는 MAC 주소의길이 06 이세팅됩니다. 바이트단위이므로이를비트로환산하면 6x8 = 48 비트가된다. Protocol Address Length 는 IP 주소길이 04 가세팅된다. 이를비트로환산하면 32 비트이다. 47

Analysis of Raw Packet RAW 패킷분석 OPCODE 는 ARP 의종류를의미하는값이세팅된다. 아래의표를참조하면 00 01 이므로 Request 임을알수있다. 값 설명 0 Reserved 1 Request 2 Reply 3 Request Reverse 4 Reply Reverse 5 DRARP Request 48

Analysis of Raw Packet RAW 패킷분석 OPCODE 는 ARP 의종류를의미하는값이세팅된다. 아래의표를참조하면 00 01 이므로 Request 임을알수있다. 필드 Sender MAC Address 내용 C0 C1 C0 89 50 F1 Sender IP Address 75 11 C6 55 (117.17.198.85) Target MAC Address 00 00 00 00 00 00 Target IP Address 75 11 C6 2E (117.17.198.46) 49

FTP 패킷분석 50

Analysis of FTP Packet 1 2 Chapter_4.pcap 를로딩한후, [Statistics] 의 [conversations] 를클릭하자. 51

Analysis of FTP Packet 처음뜨는윈도우를보면 Ethernet: 1 탭으로설정되어있는것을 TCP 탭을선택한다. 52

Analysis of FTP Packet 해당세션중 port B 가 FTP 인라인을선택하고, 필터정책을수행한다. 53

Analysis of FTP Packet 정책적용방법은해당라인을마우스우클릭후 [Apply as Filter]->[Selected]->[A<->B] 를선택한다. 54

Analysis of FTP Packet 그러면위의그림과같이해당세션에대한정보를제공하며, 두번째창을통해해당프로토콜에대한상세정보를확인할수가있다. 55

Analysis of FTP Packet 2 1 3 Ethernet Header 필드 내용 1.Destination 1a:43:20:00:01:00( 목적지 MAC 주소 ) 2.Source 01:00:01:00:00:00( 송신지 MAC 주소 ) 3.Type IP( 이더넷헤더다음에오는헤더 ) 56

Analysis of FTP Packet IPv4 Header 필드 내용 Version 4 Header length 20byte Differentiated Services Field 0x00( 서비스종류없음 ) Total length 84( 헤더및데이터길이합산 ) Identification 0xa8c5( 패킷소속고유번호 ) Flags 0x00( 패킷분할 X) Fragment offset 0( 첫번째는항상값이 0임 ) Time to live 128 Protocol IPv6(IPv4 헤더다음에따라오는프로토콜 ) Header checksum 0xd95b( 헤더오류검증정보 ) Source 81.131.67.131 destination 192.88.99.1 57

Analysis of FTP Packet Fragment Offset 수신지의재배열하는과정에서각조각의순서를파악하는데사용된다. 예를들어 3 개로분할된경우, 첫번째조각은항상 0 으로세팅되며, 두번째조각은첫번째에서보낸패킷사이즈를세팅한다. 그리고세번째조각은두번째조각까지보낸패킷사이즈의합을세팅한다. 이와같이바로전까지보낸패킷사이즈의합을해당필드에세팅하게된다. 58

Analysis of FTP Packet IPv6 Header 필드 내용 Version 6 Traffic 0x00000000(IPv4의 Differentiated Services Field와유사한기능 ) Flow label 0x00000000( 실시간데이터 ( 음성, 화상 ) 서비스에대한품질세팅 ) Payload length 24(IP데이터길이 ) Next header TCP(IPv6 헤더다음에따라오는프로토콜 ) Hop limit 128(IPv4의 TTL과동일한기능 ) Source 2002:5183:4383::5183:4383 destination 2001:638:902:1:201:2ff:fee2:7596 59

Analysis of FTP Packet TCP Header 필드 내용 Source Port 1026 Destination Port 21 Sequence Number 0( 데이터순서를나타내는번호 ) Acknowledge Number 0일경우에는없음, 하지만있을경우엔다음에수신할데이터번호가세팅 Header Length 24byte(TCP 헤더길이 ) Flags 0x02(SYN만있는경우통신을최초요청하는단계임 ) Window Size 16384( 한번에수신가능한패킷사이즈 ) Checksum 0x0ad8( 헤더오류검증정보 ) Options 기타조정기능정보 60

Analysis of FTP Packet FTP 데이터해당필드에포함된 FTP 관련인증및데이터전송정보를파악하는방법중하나가 [Follow TCP Stream] 명령어를이용하는것이다. 특정라인 1 개를선택하고, 마우스오른쪽버튼을클릭하면, 명령어창이팝업되며, 이중에서 [Follow TCP Stream] 을선택한다. 그러면여러패킷에포함된정보를수집하여보여주기때문에, FTP 인증에사용하는정보및명령어등을 1 개화면에서보여주는기능이다. 61

Analysis of FTP Packet 필드 USER anonymous PASS IEUser@ Opts utf8 on Syst Site help 내용 Aninymous 계정을입력함 IEUser@ 암호를입력함잘못된명령어입력한상태임시스템타입을리턴함 Site 명령어는 site 다음의명령어를실행함 62

파일 Magic Number 63

File Magic Number 메신저는간단하게상대방과채팅을하거나, 파일등을첨부하여전송할수있는기능을제공한다. 그러나만약이러한내용을누군가가로채어볼수있다면어떠할까? 와이어샤크를통해메신저내용을분석하거나메신저를통해전송된파일등을 File Magic Number 를통해추출하는방법을알아도보록하자. 64

File Magic Number [Conversations] 를통한전체내용파악 세션별 [Follow Stream] 을통해통신내용분석 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 65

File Magic Number [Conversations] 를통한전체내용파악 메뉴 [statistics] [Conversations] 를클릭하고, 포트를이름으로보는대신번호로확인하기위해하단의 [Name Resolution] 을체크오프합니다. 66

File Magic Number [Conversations] 를통한전체내용파악 첫번째세션의경우, 통신의방향은 Port A 55488 에서 Port 22 로접속한다는것을알수있는데, TCP 22 번은 Telnet 등의평문데이터를보호하기위해암호화처리하는프로토콜이다. 67

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 하단의 [Follow Stream] 클릭을통해패킷수집내용을확인해보면, 암호화통신이기때문에문자열확인이불가능하다. 68

File Magic Number [Conversations] 를통한전체내용파악 두번째세션도, 통신방향은 Port A 54419 에서 Port 80(HTTP) 으로접속한다는것을알수있다. 69

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow stream] 값을확인하면, 아무런값이없는걸볼수있다. 70

File Magic Number 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 그럼마우스우클릭, [Apply as Filter]-[Selected]-[A<->B] 를클릭하자 71

File Magic Number 세션별 [Follow Stream] 으로확인되지않는정보는필터링을통해상세분석 위에그림에서보이듯이 192.168.1.2 와 192.168.1.157 간 [SYN], [ACK], [SYN,ACK] 플래그로세션을맺는과정과 [FIN,ACK], [ACK], [FIN,ACK] 플래그로세션을종료하는과정이보일뿐, 데이터를송 / 수신하는과정이없는점을발견할수있다. 이는전형적인포트스캔의특징으로, 단지포트오픈여부를확인하는경우에흔히볼수있는패킷유형이다. 여기서도 80 번포트오픈정도만을확인한것으로가정해볼수있다. 72

File Magic Number [Conversations] 를통한전체내용파악 세번째세션도통신방향은 Port A 51128 에서 Port B 433(HTTPS) 으로판단할수있다. 73

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow stream] 으로확인해보면 HTTPS 통신임에도불구하고, 일부확인할수있는문자열등이보인다. 74

File Magic Number [Conversations] 를통한전체내용파악 네번째세션도통신방향은 Port A 1221 에서 Port B 433(HTTPS) 으로판단할수있다. 75

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 으로값을확인해보면확인할수있는평문값은보이질않는다. 다섯번째세션도통신방향은 Port A 1271 에서 Port B 433(HTTPS) 으로판단할수있다. 또한 [Follow Stream] 정보에서도확인할수있는평문정보는없다. 76

File Magic Number [Conversations] 를통한전체내용파악 포트 1272 에서 5190 으로접속한다는사실을확인할수있다. 세션분석을통해서도 192.168.1.159:1272 -> 192.168.1.158:5190 임을확인할수있다. 77

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 을통해확인해보면 OFT2 및 recipe.docx 등의정보가보이는것을알수있다. 78

File Magic Number 분석을통한파일추출 OFT2 packet 으로검색을해보면 AOL Instant Messenger 라는정보를제공하는데, 이를통해메신저프로그램을이용한통신임을가정해볼수있다. 79

File Magic Number 분석을통한파일추출 해당 [Follow Stream] 구조를다른포맷으로확인하여, 어던정보들의조합인지를쉽게확인해볼수있는데, 대표적인것이 Hex Dump 라는것이다. Hex Dump 를체크하고보면색상이다르게구분된것이총 4 개라는것을볼수있다. 80

File Magic Number 분석을통한파일추출 OFT2 는메신저통신내용으로 4 개중 3 개를차지하고있는데, OFT2 블록마다 recipe.docx 라는문자열이보인다. 여기서세번째블록에보이는 PK 라는문자열은 Magic Number 라는값이다. 81

File Magic Number 분석을통한파일추출 PCAP 포멧의구조체에서언급한 Magic Number 라고언급했었다. 파일포멧마다고유의 Magic Number 를가지고있어, 이를통해패킷내에포함된파일종류를확인하고, 추출해낼수가있다. http://www.garykessler.net/library/file_sigs.html 위의 URL 에서파일포멧의종류를검색해볼수있다. 82

File Magic Number 분석을통한파일추출 검색페이지에서 PK 의 16 진수값뒤에함께오는값을검색해보면, OFFICE 계열의포멧이라는것을확인할수가있다. 이로써해당블록이 OFT2 블록에서보였던 recipe.docx 라고가정하고접근해볼수있다. 83

File Magic Number 분석을통한파일추출 이제패킷에서파일 (recipe.docx) 을추출하기위해하단의파일포멧을 (Raw) 을선택하고, [Save as] 하여, recipe,docx 라는이름으로저장한다. 84

File Magic Number 분석을통한파일추출 이작업만으로파일이추출된것은아니며, 불필요한부분인 OFT2 블럭을제거해야만본래의 recipe.docx 를얻을수있다. 헥사에디터에서보이는 OFT2 블럭을삭제하기위해 PK 값이보이는위쪽부분을마우스로드래그하여선택하고 [Del] 버튼을통해삭제하면된다. 85

File Magic Number 분석을통한파일추출 블록을삭제하고저장한뒤 recipe.docx 파일을열면위의그림과같이 Recipe for Disaster 라는제목으로시작하는워드문서를확인할수있다. 86

File Magic Number [Conversations] 를통한전체내용파악 일곱번째세션의경우, Port A 1273 에서 Port B 80(HTTP) 으로접속하고있다는것을확인할수있다. 87

File Magic Number 세션별 [Follow Stream] 을통해통신내용분석 [Follow Stream] 을보면 at.atwola.com 사이트의 /adiframe/3.0/ 페이지에접속했으며, 해당페이지는경유지 (Referer) http://www.aim.com/redirects/.. 를통해서접속했었다는정보를얻을수있다. 88

백도어패킷분석 89

Analysis of Backdoor 백도어란? 컴퓨터시스템 ( 또는암호화시스템, 알고리즘 ) 의백도어 (backdoor) 는일반적인인증을통과, 원격접속을보장하고 plaintext 에의접근을취득하는등의행동을들키지않고행하는방법을일컫는다. By wiki [Conversations] 를통해확인해보면, 모든목적지포트가 80 번임을확인할수있다. 90

Analysis of Backdoor 앞서이용한방법들을이용하고자한다면 [Follow Stream] 하거나, 확인되지않은부분은 [Apply as Filter] 를적용하여상세하게프로토콜을분석해야한다. 하지만이번경우에는분석대상인 PCAP 파일의모든세션목적지포트가 80 번이기때문에다른분석방법을적용해보도록하겠다. 메뉴중 [Analyze] 의 [Expert Info] 을클릭하면해당접속했던모든웹페이지정보를확인이가능하다. 91

Analysis of Backdoor Line Number 14 해당화면에서해당페이지를펼치면 Packet 14 를확인할수있으며, 해당라인을선택후, 마우스오른쪽버튼을클릭하여 [Follow TCP Stream] 을진행한다. 92

Analysis of Backdoor Line Number 14 위의그림과같은페이지정보를확인할수있으나, 특이한정보는없다. 93

Analysis of Backdoor Line Number 167 앞선방법과같은방법을이용하여 167 번페이지정보를확인한다. 94

Analysis of Backdoor Line Number 167 내용을확인해보면, 사용자는게시판등에첨부된파일인 3121_update.zip 을요청하고있으며, 이에대해서버는 200 번응답코드로회신하였다. 즉사용자는해당파일을정상적으로다운로드받았다는사실을위내용을통해확인할수있다. 95

Analysis of Backdoor Line Number 167 여기서도 File Magic Number 를이용하여, 파일을추출하기위해, 화면아래의 [Raw] 부분을체크하고, 해당패킷을 update.zip 이라는이름으로저장한다. 96

Analysis of Backdoor Line Number 167 저장한 zip 파일을헥사뷰어로오픈한다. Zip 파일의 Magic Number 는 50 4b 03 04 이므로 PK 로시작되는이전부분을삭제하고저장한다. 97

Analysis of Backdoor Line Number 167 그럼위의그림과같이원본인 update.exe 을확인을할수가있다. 이제이파일이악의적인행동여부를확인하기위해, 악성코드분석가와리버싱같은전문기술이사용되어질수있지만리버싱은여기서다루기엔너무방대한분량이기때문에다른방법을이용하기로한다. 98

Analysis of Backdoor Line Number 167 http://anubis.iseclab.org 위 URL 주소로접속하여 update.exe 파일을업로드하고, 분석하도록하자. 그럼잠시뒤에 Submission Page 가뜨면서완료가될것이다. 99

Analysis of Backdoor Line Number 167 Summary 에이프로그램에대해안전성의총평이나와있는데이프로그램위험하다고알려주고있다. 100

Analysis of Backdoor Line Number 167 Ws2help.dll 은 TCP/IP 네트워크통신수행시어플리케이션에서사용되는라이브러리이다. 또한 WS2HELP.dll 은세션서비스와 TCP/IP 상에서데이터그램전송을위해사용되며, winsock 인터페이스를사용하는 FTP 도해당라이브러리를사용한다. 이와같이대부분이 TCP/IP 통신을수행하는프로그램임을짐작할수있다. 101

Analysis of Backdoor Line Number 167 이프로그램을실행시 TCP 4444 를오픈한다는의미이다. 즉 Listening 상태로대기하며, 외부에서요청시해당포트를통해세션을맺어관리자권한등을제공할수있으므로백도어역할을제공하게된다. 102

Analysis of Backdoor 악성코드의일반적인특징 감염 - 악성코드가사용자 PC 를감염시키기위해서는사용자의어떤행동즉, 이메일의첨부파일클릭, USB 사용, 웹페이지접속등의행동으로인해발생된다. 파일생성 - 감염이후에는악성코드파일을시스템에위치시키는데, 주로임시폴더에최초생성된악성코드를시스템폴더로복사하거나, 다른악성코드를인터넷에서다운로드받거나, 악성코드자신이가지고있는다른악성코드를만드는행위 (Drop) 를한다. 파일생성관련 API 는다음과같다. - CreateFile - ReadFile - WriteFile - Copy File - GetSystemDirectory - GetWindowsDirectory 파일다운로드 API 는다음과같다. - URLDownloadToFileA 103

Q & A 104

The end 감사합니다 105