침해사고 분석 패킷 - 악성코드 분석 - 3

 packettotal.com/app/analysis?id=807d6b7dc194302788bcf13bdc340b10

이곳에 pcap파일 올려주고나서

 

 

이제추측해보자

 

 

 

 

정상적인 사이트를 접속했는데 page redirection이 일어났다는것을확인 할 수있습니다

et는 expoit target

그래서 변조된 사이트는 (홈페이지)

64,20,39.203

 

 

악성코드가 landing 착륙했다.

그래서

악성코드 배포 서버는

46.108.156.181

 

 

 

또

 

이곳에서 63.20.39.203 (변조된 사이트로 dns요청을날렸습니다)

 

 

 

 

flash exploit라는 눈에띄는 문구가있습니다 지금은 chrome에서 지원을 하지않는다고합니다.

 

 

 

 

여기서 또 redirection을 했고

 

 

 

리다이렉션이되서 자바취약한 버전이 룰에 탐지됬고

여기 23.60.139.27도 변조된사이트라고 추측을할수가있습니다 

 

 

 

 

 

transferred 에 가보니까 플래쉬 악성코드가 존재했습니다.

위에서 그런 탐지가나왔었으니까 악성코드 배포서버인 181 을 검색해서 플래쉬인 타입을 찾아봐서 찾았습니다.

 

악성코드는 이 flash파일이였습니다.

피해자가 리다이렉션 때문에 접속이되서

46.108.156.181에서 피해자인 192.168.137.239 로 악성코드가 다운이됬다는 것을할수있습니다

 

 

 

iframe으로 이동되는것 img scr같은것

 

<iframe src

 

 

피해자

192.168.137.239

 

변조된 사이트 (홈페이지)

vitaminsthatrock.com을 입력을했는데

64.20.39.203과, 

 

23.60.139.27

 악성코드 배포 서버

46.108.156.181

 

 

 

네트워크마이너에서 피캡파일을열고 files로가서

잘보면 index.html이있는데

그파일을 메모장에 열어보면

 

코드들이나온다

그중에서 리다이렉션하는 iframe을 찾아서 보면 

 

iframe이있으므로 변조사이트(46.108.156.181)로 유도하는것이 확실해졌습니다.

 

 

 

 

 

이상한 곳으로 ->악성코드 배포당함  

되서 이곳에서 악성코드가 배포되고 피해당함.

 

 

 

피해자

192.168.137.239

->->

변조된 사이트 (홈페이지)

vitaminsthatrock.com을 입력을했는데

64.20.39.203 

-->리다이렉션

 

악성코드 배포 서버

46.108.156.181->64.20.39.203->192.168.137.239(피해자)

 

결론

 

192.168.137.239->64.20.39.203 으로 리다이렉션후

64.20.39203은 46.108.156.181. 로 리다이렉션 시킨다

마지막 46.108.156.181 에서 악성코드가 나와 감염이된다

 

 

 

 

 

 

 

referer는 패킷이 어디서왔나

 

referer라는 헤더를 통해서 네이버를타고왔으면 48만원,, 네이버를안타고 직접들어왔으면 58만원

이런식의 느낌으로  생각하시면됩니다.

 

 

 

 

 

 

 

cnc 서버(72.55.148.19)는 쉽게생각하면 계속해서 비콘처럼 공격자에게 신호를 보내주는 서버이다.

행동대장이라고 생각하면된다.

 

일반적으로 감염된 좀비 pc가 해커가 원하는 공격을 수행하도록 원격지에서 명령을 내리거나,

악성코드를 제어하는 서버

 

 

vclph