Sunnyday's Free talk

네트워크 회사에 있다보니 CAP 파일이 굉장히 중요하다.

근데 CAP 파일 분석툴이 없다.

좀 더 정확히 이야기 하면 "CAP 파일 내부의 어떤 코드가 취약하고 어떤 악성코드가 심어졌고.." 라는 것을 의미한다.

"그걸 분석해서 뭐하려고?" 라고 이야기 할지는 모르겠지만

EXE 분석툴, SWF 분석툴.. 등 다양한 포멧을 분석할 수 있는 툴들이 많다.

하지만 왜 CAP 파일 분석툴은 없을까.. 라고 고민하게되었고 설계하고자 한다.

일단 CAP 파일을 분석하려면 아래와 같은 조건이 선행되어야 한다고 생각한다.

1. 세션별 트래픽 분류

2. 데이터 값에 대한 File format 확인 (파일종류 확인)

3. 다양한 취약점에 대한 이해

4. 결과값들의 연관관계

사실 정확히 이야기 하면 CAP 파일 분석툴은 필요가 없다.

해당 컴퓨터 내부에서 프로그램으로 동작하면 되는것이 아닌가..

하지만.. 내 실력이 미천하여.. CAP 파일을 생성한 이후, 그 CAP 파일을 분석하는 형태로 구성을 계획중이다.

해당 툴이 완성되면 아래와 같은 Flow로 분석을 진행할 예정이다.

ex) "취약점분석시스템"이란 제작할 툴을 이용하여 만들 시스템으로 웹서버로 URL을 받아들여 분석하는 시스템이다.

1. 보안관제 혹은 보안에 관심있는 사람들이 "취약점분석시스템"에 접근하여 URL을 입력한다.

2. 입력된 URL은 내부에 있는 가상머신을 통해 접근하게되며, 접근할 때 네트워크 트래픽을 덤프한다. (CAP)

3. 약 20초간 딜레이 -> CAP 파일 백업 -> Snapshot 복원

4. 생성된 CAP 파일을 분석툴을 이용하여 분석한다.

5. 분석툴은 내부적으로 알려진 취약점 및 악성코드, 경유지, 유포지 등을 수집/분석한다.

6. 수집/분석 된 결과를 "취약점분석시스템"에 보여준다.

이로 인해 예상되는 이익은 아래와 같다.

1. 분석시스템의 자동화로 인해 업무효율 상승

2. 신종 공격 발견 시간 단축

3. 악성파일 및 악성스크립트 수집

4. 알려진 공격과 알려지지 않은 신종공격에 대해 실시간으로 구별가능.

5. 샘플에 대한 처리률 상승

만들고는 있는데.. 언제쯤 완성될런지는..

일단 담주 금요일까지 완성을 목표로.~

http://midnightresearch.com/wiki/index.php/Port_Scan

위 링크를 따라가면 다양한 스캐닝 공격에 대해서 설명이 되어있다.
Seq 0 ACK 1 일 경우도.. 스캐닝 공격인듯!!

해당 패턴으로 탐지로직을 만들어봤더니..

NSA에서 스캔 중 -_-;; 뭐지.. 왠 미국 정부에서 우리나라 IP를 스캔하고 있는지 잘 모르겠다 -_-;

Snort 룰 설명

저번에는 수작업을 통해 파일을 추출하는 방식을 썼었습니다..
근데 알고보니.. 그 기능은 이미 Wireshark에서 지원되는 있는 기능이더라고요..

그래서 오늘은 간략하게 Wirtrshark로 파일을 추출하는 것을 써볼까 합니다.

일단 Wireshark로 cap파일을 Open 합니다.
이후 아래 그림처럼 File -> Export -> Objects -> HTTP 선택합니다.

선택하면 아래와 같은 창이 뜨는데 원하는 파일을 선택하고 우측 하단에 Save As 를 클릭하시면 됩니다.

어때요~ 쉽죠? ^^;

교과서에도 수 없이 보고.. 보고.. 시험도 보고.. 듣고..
입사해서 듣고.. 계속 듣고.. 심심하면 듣고.. 그런것이지만..

개인적으로 이 글이 가장 와닿길래 퍼옵니다.

1. Physical Layer : 물리적인, 기계적인 정보 등에 관한 자료를 처리하는 계층

2. Datalink Layer : 상위 계층과 Physical Layer의 연계를 담당하는 계층

3. Network Layer : 도착지와 출발지의 주소 설정 및 경로 설정 등을 담당하는계층

4. Transport Layer : 데이터를 분할, 전송, 재조립 등을 담당하는 계층

5. Session Layer : 상대 Application Layer와 내 Application Layer의 연계나 전송 실패에 대한 처리를 담당하는 계층

6. Presentation Layer : 네트워크 자원을 할당, Application Layer에 전달, 자료를 컴퓨터가 이해 가능한 Format으로 바꾸는 기능 등을 담당하는 계층

7. Application Layer : 사용자가 Network 자원을 사용할 수 있도록 해주는 기능을 처리하는 계층
<펌 : http://blog.naver.com/ctpoyou/115601335>

오늘은 간단히 네트워크에서 캡쳐한 Packet에서 파일을 추출하는 방법을 간단하게 써보겠습니다.

이 글을 쓰는 이유는?
혹시라도 누군가 나에게 이런걸 물어본다면.. 대답해주지 않고 "내 블로그 봐봐" 라고 말해주기 위해서 입니다. ^^; 어느정도 스킬이 있으신 분들이야 이런 내용은 그냥 말로 간단히 해드리면 하실 수 있지만 아무것도 모르는 분들에게는 말로만해서는 어렵더라고요 ^^;

일단 네트워크에서 캡쳐한 파일이 필요합니다.
저는 SMTP를 이용한 메일을 보낼때 첨부된 파일을 추출해보겠습니다.
80포트인 HTTP 프로토콜을 이용한 방법도 BASE64 디코딩을 제외하고 똑같으니 잘 적용해보세요.


저는 이렇게 메일로 전송된 패킷을 가지고 해보았습니다. 이 글을 읽으시는 분들은 메일로 SMTP로 테스트 해보셔도 되고 HTTP를 가지고 테스트 해보셔도 상관없습니다.
이런 글을 보고 직접 따라하면서 자기 것으로 만드는 것이 중요합니다.
그럼 시작하도록 할께요.


1. 패킷 보기.

패킷을 보면 위와 같이 특정 파일이 있는 부분을 확인하실 수 있습니다. 이 부분(파일내용)을 찾아서 아래 <그림 2>와 같이 드레그 해주신 다음 COPY~를 해주시면 되겠습니다. <그림 1>을 잘 보면 파일이 이상하죠? 분명히 ZIP 파일인데 ZIP파일에서 보이는 특정 문자열(매직넘버)가 보이지 않습니다. 헤더부분을 보면 Content-Transfer-Encoding라는 필드값이 있는데 보면 BASE64로 인코딩 되어 있는 것을 쉽게 확인 할 수 있습니다.


이렇게 복사한 데이터를 TextEdit 툴을 이용해서 붙여넣으면 아래 <그림 3>에서 보는 것과 같이 줄바꿈(\n)이 된 모습을 확인 할 수 있습니다. 이는 해당 툴에서 지원하는 Replace 기능을 이용하여 [줄바꿈문자]->[아무것도 없는 Null문자]로 바꾸면 <그림 4>처럼 됩니다.




위 <그림 4>의 좌측을 보면 1줄에 모든 내용이 붙어있는 것을 확인 할 수 있습니다.
HTTP같이 파일을 전송할때 암호화하지 않는 프로토콜들은 그냥 이 내용을 저장하면 정상 파일이 되지만 우리는 SMTP를 이용하여 전송을 해서 BASE64로 인코딩 되어 있기 때문에 이를 디코딩 해줘야 합니다.



<그림 5>를 보면 저는 Malzilla라는 툴을 이용해서 BASE64 디코딩을 한 모습입니다. Malzilla 말고도 BASE64 디코딩해주는 툴이 많습니다. 찾아보시기 바랍니다.

나중에 누구한테 배우건, 어느 회사에 가던,
"저 BASE64 디코딩하는 툴(사이트) 어디있을까요?"
라고 묻지 마세요.

상당한 실례라고 생각합니다.
그정도도 찾아보지 않고 이야기 하는 것은 결과적으로
1. 이 사람은 이 일에 대해 관심이 없다.
2. 이 사람은 이걸 가르쳐줘도 몇일 이내에 까먹는다.

라는 인식이 생기게 됩니다. 관심이 있다면 직접 찾아보세요.



이렇게 Decoding된 내용을 HexEdit 툴을 이용해서 붙여넣기 한 다음 파일로 저장하면 됩니다.
그러면 파일 복구가 완료 됩니다.

실제로 이렇게 만들어진 파일이 정상적으로 복구가 되었는지 실행해보면 알 수 있겠죠? ^^


ps. 이 글에서 한가지 오류가 있습니다. 이 글에서 설명한 방법대로 하면 안되는 경우가 발생하죠. 그런 경우는 어떤 경우 일까요? ^^