유성준의 공부 노트

pcap파일을 스구일로 replay 진행했다. 리다이렉트 이벤트 발생 후 악의적인 코드 다운 exe,dll 파일 다운 및 안티 디버깅이 적용되어 있는 이벤트다. redirect 185.189.14.112 JS,EXE 213.136.26.180 C&C 94.198.98.20 client 104.4.26.101 악성 IP에 도메인들이 존재한다. xplico를 통해 도메인 주소 정보를 확인 301 상태값으로 리다이렉트 하는 것을 알 수 있다. 해당 url로 이동 url이동 후 다시 정보를 확인하니 php로 이동하는 모습이다. 해당 다운로드 버튼을 누르면 다른 웹사이트로 이동된다. jgen.php로 이동된다. 해당 주소로 정보를 찾는다. 마이너에서 관련된 파일을 발견했다. 해당 파일을 열어보았다. var uuu..

스구일이 에러 나서 샘플에서 제공된 이벤트 로그를 확인했다. ------------------------------------------------------------------------ Count:5 Event#8.1634 2016-10-14 22:14:42 UTC ET CURRENT_EVENTS Evil Redirector Leading to EK Jul 12 2016 50.56.223.21 -> 10.14.106.192 IPVer=4 hlen=5 tos=0 dlen=1361 ID=0 flags=0 offset=0 ttl=0 chksum=12172 Protocol: 6 sport=80 -> dport=49450 Seq=0 Ack=0 Off=5 Res=0 Flags=******** Win=0 urp..

얻어야 할 정보 리스트 - 사용자 이름 - 악성 메일 - 감염 날짜 시간 - 감염 IP, MAC , 호스트 이름 - 악성 관련 IP/ 도매인 메일들을 확인하고 악성 메일을 찾는 과정을 진행했다. 메일들의 첨부파일들을 모두 확인해 주었고 의심 가는 파일을 분석하기로 했다. 파일에 js형식자가 붙어있다. 보통 확장자를 숨기고 사용하는 사용자들이 많기에 그 점을 이용한 듯하다. html은 내용을 확인하기 위해 내가 잠시 붙여둔 확장자이다. 파일을 열어 내용을 확인해 보면 js난독화가 되어있다. 줄맞춤을 정리하고 스크립트 태그로 모두 묶었다. document.write로 웹페이지에 내용을 뛰우기로 했다. var ll 리스트에 도메인 5개가 들어있었다. 스구일을 통해 과정을 분석했다. 사용자가 공격자에게 페이로드..

xplico를 통해 분석진행 검출된 url개수가 너무 많아 스구일을 사용했다. 명령어를 검색해서 replay를 진행했다. 의심가는 부분을 캡처했다. payload를 확인해서 IP를 정리해주었다. 해당 내용을 토대로 마이너에서 검색했다. site의 url를 찾았다. 해당 url을 검색하여 html형식으로 다운로드 해준다. html코드가 나온다 내용이 많아서 redirector IP에서 더 정보를 가져오기로 했다. 해당 Hostname을 검색해준다. 일치하는 url을 검출했다. 이로써 해당 site는 ifram태그를 이용해 악성 url로 리다이렉트를 해준다. 와이어 샤크에서도 iframe 태그 사용 내역을 확인할 수 있다. 악성 url을 자바스크립트로 난독화되어있다. 복호화는 다음에 진행할 예정이다. 마지막..

CapTipper은 python으로 제작된 악성 트래픽 분석 도구이다. CLI 환경에서 구동을 한다. 실행을 하면 다음과 같이 머라 여러 내용들이 내려간다. hosts 명령어를 통해 도메인과 IP를 묶어서 확인할 수 있다. convs명령어를 통해 데이터를 주고받은 로그를 확인할 수 있다. 하지만 이런 기능들은 다른 분석도구에서도 제공된다. CapTipper의 유용한 기능이다. iframe 요소는 해당 웹 페이지 안에 제한 없이 다른 페이지를 불러올 수 있어 보안 측면에서 취약하다. iframes와 ID를 합쳐 입력하면 iframes 이 사용되었는지 확인할 수 있다. 그 외 다른 도구들을 요약했다. IDS장비 (Sguil - Snort -ET) Sguil 네트워크 보안 모니터링 및 탐지 이벤트 분석 도구이..

NetworkMiner windows용 NFAT이다. 운영 체제, 세션, 호스트 이름, 열린 포트등을 묶어서 확인할 수 있다. 예시로 Youtube와 같은 웹 사이트에서 네트워크를 통해 스트리밍되는 미디어 파일을 추출하고 저장하는 데 사용할 수있다. 윈도우 환경에서 간단하게 실행할 수 있다. ftp pcap 샘플 파일을 올렸다. 다양한 호스트 관련된 내용을 확인할 수 있다. pcap파일에 데이터가 존재하지 않아서 Unknown으로 뜬다. Files 탭에서 파일을 바로 다운받아 사용할 수도 있다. 쓸모있는 유용한 기능이다. 세션과 파라미터를 확인할 수 있다.

Xplico란 NFAT(네트워크 포렌식 분석 도구)로 패킷 스니퍼로 수행된 수집 내용을 재구성하는 소프트웨어이다. xplico 웹에 처음 접속한 화면이다. 해당 문구를 복사하고 실행해준다. ok문구가 나오면 성공이다. 아이디 패스워드를 입력하고 들어가 준다. case를 새로 만들어준다. case를 만들면 그 안에 새로운 세션들을 만들어 관리할 수 있다. 세션을 만들어 주었다. 그럼 이와 같은 화면이 나오는데 파일을 선택해서 분석을 할 수 있다. http pcap 샘플 파일을 넣어주었다. 그 후 upload를 하고 기다려준다. 완료된 후 Dns목록이다. name서버와 ip주소를 묶어서 확인할 수 있다. web의 site목록에서 url들을 확인할 수 있다. url을 클릭하여 그 당시 데이터들을 확인할 수 있..

서비스 보면 여러 이름들이 있는데 등록된 서비스를 실행시켜준다. services.msc로 등록된 서비스들을 확인할 수 있다. svchost.exe에 등록되어있는 서비스 중 하나를 확인했다. 실행 파일 경로는 svchost.exe -k netsvcs를 실행한다. 올리디버거로 과정을 파악한다. oep로 bp를 걸고 이동해준다. resource 관련 루틴으로 가기 위해 403a2c로 이동해주었다. bp를 걸어준다. 함수 내부로 진입해준다. 문자열을 합치는 작업을 하고 있다. 분기문이 나오는데 eax값의 따라 분기문이 나뉜다. 이는 403100함수의 반환 값이다. 해당 함수는 reg 관련된 함수들이 나오며 netsvcs가 가능하면 64to32를 세팅하는 듯하다. 이게 되냐 안 되냐에 따라 달라지는 것 같다. 해..