CapTipper

CapTipper은 python으로 제작된 악성 트래픽 분석 도구이다.

CLI 환경에서 구동을 한다.

 

실행을 하면 다음과 같이 머라 여러 내용들이 내려간다.

 

 

hosts 명령어를 통해 도메인과 IP를 묶어서 확인할 수 있다.

 

convs명령어를 통해 데이터를 주고받은 로그를 확인할 수 있다.

하지만 이런 기능들은 다른 분석도구에서도 제공된다.

 

CapTipper의 유용한 기능이다.

iframe 요소는 해당 웹 페이지 안에 제한 없이 다른 페이지를 불러올 수 있어
보안 측면에서 취약하다.

iframes와 ID를 합쳐 입력하면 iframes 이 사용되었는지 확인할 수 있다.

 

 

 

그 외 다른 도구들을 요약했다.

 

IDS장비 (Sguil - Snort -ET)
Sguil
네트워크 보안 모니터링 및 탐지 이벤트 분석 도구이다.

큰 서버는 많은 트래픽이 교환되기에 와이어샤크로는 무리가 있다.
와이어샤크로 열기 전에 트래픽을 확인해서 IDS에서 필요한 pcap만 따온다.

유용한 기능으로 pcap 파일을 리플레이하여 이벤트 확인이 가능하다.
나중에 악성코드 샘플을 분석할 때 사용할 예정이다.

VirusTotal
현재 재직 중인 회사에서도 많이 사용하는 분석 사이트.....
아마 모든 보안 회사에서 사용하고 있을 것이다.
수많은 악성코드를 빠르게 위협대응 가능
여러 회사의 백신 프로그램에 검출된 내역을 확인할 수 있다.