예제 1

앗 근데 나는 지금 다운로드가 안 되네..?

(문제)

1. 공격자의 IP 주소는?
2. 공격자가 서비스에 접속하기 위해 사용한 계정 정보는?
3. 공격자가 공격하기 위해 사용한 대상 주소 URL은?
4. 공격자가 사용한 파일 이름은?
5. 공격자가 획득한 개인 정보는?
6. 공격자가 시스템에 침투 한 후에 실행한 명령어는?

어떤 식으로 진행하는지 확인해보자!

• statistics ⇒ resolved address (패킷 안에 도메인 정보 모두 확인 가능, IP와 도메인 정보)
• statistics ⇒ protocol hierarchy (프로토콜 통계 → tcp, http가 가장 많이 보임 → 웹 서비스 통한 공격이 있음을 유추 가능)
• statistics ⇒ conversation (통신 시 포트 기준 src ip + src port + dst ip + dst port 확인 가능, 192.168.206.152에서 192.168.206.154로 접속한 기록이 꽤 많음 → 의심 됨, 공격자와 공격 당한 서버)
• statistics ⇒ HTTP ⇒ packet counter (코드 번호 별로 확인 가능), requests (burst start 클릭하면 순서대로 확인 가능)

login.php ⇒ 공격자가 사용한 ID, PW 확인 가능 unrestricted_file_upload ⇒ 있는 페이지인지 아닌지 좀 확인 db에 쿼리 정보 요청 확인 backdoor.php 통하여 시스템 정보에 접근하려고 하는 것 같음

• follow tcp stream 접근하여 공격자가 사용한 아이디와 패스워드 확인 가능 → post에서 데이터 요청 → 아이디가 bee, 패스워드가 bug

• tcp stream (공격자가 세션 유지하는 동안, 공격자가 접근했던 페이지 정보가 모아져서 보이는 정보들 ⇒ 어디까지 접근했는지 확인하고 싶은 경우 “save as” 클릭하여 upload.html 저장 ⇒ unrestricted_file_upload까지 접근한 사실 확인 가능)

• file → export objects → http (페이지 별로 나눠서 저장 가능, 파일 모두 분리되어 나눠져서 보임 ⇒ 클릭 시 원하는 패킷 위치로 갈 수 있음)

• php-backdoor.php ⇒ follow tcp stream 클릭 후 upload2.html 저장 (webshell 파일, 원래는 php 파일이고 html로 확인하여 ⇒ 어느 정도 정보 확인 가능)

• host id, pwd ⇒ follow tcp stream 클릭 후 upload3.html 저장 ⇒ 공격자가 침투하여 가져온 db 정보 확인 가능

• 따라서, 웹 서버에 웹 쉘 올려서 웹 서버에서 DB로 접근하여 정보 가져온 것을 확인할 수 있음 (개인 정보 2개 유출된 것을 확인할 수 있음)

• 웹 쉘 ⇒ php-backdoor.php (pcap으로 변경한 후, networkminer에서 열어서 확인할 수도 있음)

• files → php파일 → open file 누르면 notepad++에서 확인할 수 있음 (근데 백신 꺼야 확인할 수 있음)

<aside> ✅ ***1. statistics 이용하여 어떤 프로토콜이 많이 사용되는지, 어떤 request가 많은지 체크할 수 있다. → 어떤 프로토콜 및 포트가 많이 사용되었는지 (http, 80 확인 가능) → 공격자와 피해자 유추 가능 → 요청 순서대로 확인 가능 (흐름 체크)

2. export objects 통하여 프로토콜 기준 페이지 별 나눠서 저장 및 북마크 기능 사용 가능 → php 파일을 html로 변경하여 자세한 내용 확인 진행 → tcp stream 클릭하여 저장, 자세한 내용 확인 진행

3. 공격 기술인 웹 쉘 php 파일도 networkminer 통하여 notepad++에 열 수 있음***

</aside>