pcap 파일을 열어보면 좀내용이많습니다. http에서보면 난독화를 해제 하게되면 오른쪽위에 /counter/?~~~~ 가 나올거라는 예측을 할수가있습니다. 자이제 eml 파일을 같이 저장하고 한번열어보게되면 열어보니까 자바스크립트 파일이 들어있습니다. (윈도우에서도 악성파일이란 것을 감지합니다) 이상한 짓을 할게 확실하고 자바스크립트 파일을 열어보면 이런게나오는데 딱보니 난독화를 진행해야할 의미없는 코드들이랑 같이 있습니다. 수정을 해야겠습니다. r.split(m).join("a"0); 이것은 m이라는 문자를 a라는 문자로 이렇게하게되면 var e~~~~ 6 번쨰줄은 삭제합니다( alert(); 이것을 삽입합니다. 먼저 html로 바꾼뒤에 난독화를진행하여야합니다. alert로 수정을해서 난독화를 하면 ..

이번에 진행할 pcap은 이것이다. 5.189216.103 에서 redirection됬다. -> 104.74.211.249 192.168.120.129 가 악성코드 일확률이있다 나머지는 cnc becon 신호를 보내기때문이다. iframe 이 삽입 되 있는것을 확인할수있어서 의심을 할수가있었다 이페이지를열어보면 조금 이상한 문자들이 많았다. 예상으론 조금 난독화가 되있는거 같습니다. 의미없는 문자들이 있고 그런거보니까 난독화가 되어있었습니다. 여기 eval 코드도 존재를 했었습니다. eval 을 alert로 바꾸니까 이렇게 난독화 해제를 한번했습니다. 여기를 보면 자바스크립트 문법들이있었으며 여러번 난독화를해야 하지만 아직은 하지못했습니다 하지만 악성파일이 먼지가 가장 중요함으로 찾아봅시다. http 요..

packet total에서보니까 새로운 유형이라서 여기서는 아직판단을하지못한다 wireshark를 보면 three hand shaking이 진행되었었고 10.5.26.102가 피해자였습니다 view.js를 한번 열어보게되면 이런 파일이있는데 iframe 이있다 redirection을 하는 코드가있다. 그래서 이페이지를 한번열어보게된다면 굉장히 많은 글자들이있습니다. html로열어봤는데아직은 잘모르겠습니다. flash 파일도 있고 html 아직은 악성 스크립트 분석 키워드 http eval 한번 파일을 열어보게되면 엄청나게많은데 코드를 한번찾아보자 이코드를 찾았는데 이코드를 이쁘게만들어서 찾아야하는데. 만약 xcukza 가 널이 아니라면 이코드의 실행은 eval 이된다. ev asdokaspodkaopsk..

1.피해자 10.7.7.107 2.공격자 188.121.59.128(웹서비스) 3.악성코드 감염 경로 10.7.7.107 ->188.121.59.128 ->redirection ->85.93.0.43 ->redirection ->74.208.162.191 == 플래쉬 취약점 리다이렉션 == 피해자(10.7.7.107) 가 musicmix(188.121.59.128)번 접속했고 -> musicmix애 삽입된 악성코드 유포서버로 추측되는 곳으로 접속해서(freedtd, 85.93.0.43번에) -> 플래쉬(swf) 관련 악성행위가 실행됩니다 -다시 komple(74.208.162.191)로 접속해서,악성코드 다운 wireshark에서는 이렇게 swf 를 확인할수있었고 여기서는 이렇게 진행이됬습니다 4. 악성..

스크립트를 삽입해 알람창을띄워서 진행한다. ================================= 첫번째 난독화 이것을이제 난독화를 헤제해봅니다 난독화된 자바스크립트 해제 를추가하고 var uuu~~ var ijdl~~ 지울것을 지우고 gyt++ 뒤에 alert(zmei + ":" + lub + '' + lub + tjkh + '/'+nami+'?'+feni); 이것을 추가한뒤에 google chrome 에서 열어보면 이러한 문구가떳습니다. 난독화첫번쨰를 헤제를 했습니다. 링크는 여기나와있지만 난독화로 숨어져있다는 것을 알수있습니다. 301 Moved Permanently 301 서버코드는 영구적으로 이동됬다. =================================================..

1. 희생자 10.4.26.101 2. 악성코드 유포 서버 213.136.26.180 (smulapapentocht.be)에서 리다이렉션으로인해 악성코드(exe형태)를 받게됬다 그리고 서버가 ip가박혀있어서 dns요청을 안해서 바로이동됬다고생각할수있다. smulpapentocht.be 3. redirect 서버 185.189.14.112때문에 185.189.14.112가 리다이렉션됬다 4.cnc 서버 94.198.98.20 위에서 잘보면 213.136.26.180(악성코드 배포서버)에서 exe가 다운받은 것을 확인할수있엇는데 저기서 그파일을 한번보면 html파일이였다 하지만 그파일을 .exe로 변경을해보게되면 이런식으로 바꼇고 바이러스 토탈에서 한번 이파일을 검사하게되면 바이러스가 존재하였습니다. red..

packet total에서 한번열어보면 50.56.223.21 에서 redirection이됬다 network miner로 열어봤을떄 해커가 취약한 웹사이트라서 그럴수있다. 한번 그쪽을보면 index.html 파일이 숨겨져있고 메모장으로 열어보면 iframe 리다이렉션하는 코드가 숨겨져있었습니다 iframe이 있다고 무조건 악성코드는 아니지만 매우 의심을해볼수잇었습니다. 보안때문에 iframe 은 왠만하면 막아둡니다. 케르베르 악성코드라고도하고 유명한 랜섬웨어이다 플래쉬는 자동으로 실행되기때문에 악성코드가 자동으로 실행되기때문에 다운받기만하면자동실행된다. network miner에서 잘보면 네트워크 대역 전체를 전부다 스캔을 한것입니다. 그이유는 31.184.234.0 이포함된 전부 스캔을 햇기때문입니다...

여기를 잘보면 계속해서 172.16.1.126에서 184.107.174.122로 사용자가 웹접속을하면 184.107.174.122 에서172.16.1.126로 실행파일을 다운하게해줍니다 그리고 이곳으로 트로이목마를 다운받게해주는것을보니까 185.118.67.195도 의심이갑니다. 172.16.1.12 url 을 치고들어간것도 일단 dns 메뉴에서 확인이 가능합니다. 잘보면 png파일이 되게많고 그렇다. 이러면 사용자가 bapanivato.~ 에서뭘했는지 확인해보자 와이어샤크에서확인해서 4번째가 너무이상해서 한번 살펴보면 mz 실행파일을 하나 다운받았던것을 확인을 해볼수가있습니다. 하지만 이파일이 content-type도 image/png이고 content disposition도 png로 되있습니다. pn..

packettotal.com/app/analysis?id=807d6b7dc194302788bcf13bdc340b10 이곳에 pcap파일 올려주고나서 이제추측해보자 정상적인 사이트를 접속했는데 page redirection이 일어났다는것을확인 할 수있습니다 et는 expoit target 그래서 변조된 사이트는 (홈페이지) 64,20,39.203 악성코드가 landing 착륙했다. 그래서 악성코드 배포 서버는 46.108.156.181 또 이곳에서 63.20.39.203 (변조된 사이트로 dns요청을날렸습니다) flash exploit라는 눈에띄는 문구가있습니다 지금은 chrome에서 지원을 하지않는다고합니다. 여기서 또 redirection을 했고 리다이렉션이되서 자바취약한 버전이 룰에 탐지됬고 여기 2..

wireshark,packet total, network miner를 이용하여 1. 감염된 pc의 운영체제와 계정 이름 network miner로 열어보면 감염된 피시는 타겟이많은 172.17.8.109 windows 와 계정이름은 dunn-windows-pc~~ 2.악성코드 추출 및 검사 end point도 살펴보며 192.241.220.183 과 91.121.30.169 169일 가능성이없지만 해보지않기전에는 아직모릅니다. 여기서도 아직은 확인해보기전에는 악성코드라는것을 확인할 수 없습니다. packet total에서 transferred 쪽을보면 여기에 169번이나와있는데 169번이 없는것을 알수도있다 탐지룰에서 걸리지않은거 뿐이지 아직은 확신은 할수가없습니다. 169번이 접속이 된뒤에 다운로드 받..

packettotal.com/app/analysis?id=a6b1f0e0fd0cf69ac90746f6179ecf3f&name=conn 포트번호가 3자리수 미만인것은 미리정해둔 서비스이기 떄문에 악성인것을한번찾아보자 워너크라이 악성코드 smb악성코드 (서버 메세지 블록) 파일등을 공유할수있도록 설계된 마이크로소프트의 윈도 운영체제 프로토콜이다. 악성코드전파 속도가 무척빠르다 389포트는 ldap은 인터넷 기반의 분산 디렉터리 서비스를 조회하고 수정하는 응용 프로토콜이다. 88번 포트는 커버로스 티켓을 기반으로 동작하는 컴퓨터네트워크 인증 암호화 프로토콜 67,68 dhcp 응답 3389 mstsc포트 원격 접속제어 프로토콜입니다.

- apt-get graphviz apt-get install python3-dev 그래프로 편히 보여줍니다. git clone github.com/mateuszk87/PcapViz.git mateuszk87/PcapViz Visualize network topologies and collect graph statistics based on pcap files - mateuszk87/PcapViz github.com apt-get install graphviz libgraphviz-dev pkg-config cd PcapViz pip3 install -r requirements.txt python3 main.py -i 1.pcap -o 1.png (PcapViz 에 pcap파일을넣고 그 폴더안에서 명령어..

패킷을 한눈에 보기가 힘들기떄문에 packettotal.com/ PacketTotal - A free, online PCAP analysis engine packettotal.com 이곳에서 많이 씁니다 이곳에 pcap파일을 올리게되면 이런식으로 시간대 별로 볼수가있습니다. 이런식으로 쉽게 그래프형식으로도 볼수가있습니다. 저번에했던 zip파일도포함이 되있었습니다 time line을 누르게되면 이렇게 나오기도하구요 csv파일로 엑셀파일로 저장하면 엑셀파일로 열어서 자세하게 볼수가있습니다. 아주유용한 사이트입니다. 이파일을 다운받을수있었습니다. 다운받은것을 hxd에 열어보면 정상적인파일이란것을알수있습니다. 여기보면 저번에했던 zip파일로 똑같이 있으므로 다운받아서 hxd에 열어보면 이것을 열면 50 4B 로..

wireshark 안에 패킷안에 object를 추출합니다 http를 사용자가 접속해서 다운을받았던것들 입니다 content로 정렬을합니다. 근데 눈에 거슬려지는 것이 보이게됩니다 파일이름도 안나오고 가장 의심이 된다고 생각할수있습니다. 저장을한뒤 이파일을한번 zip파일로 바꾸면 이런식으로 zip파일이란것을 확신하게됬다. 여기도 보면 중간에 update.zip파일이라는 형식이 들어있었습니다. ========================================================================== 구글에서 hxd을 다운로드합니다 hxd에서 저 download zip을 열어보면 50 4b로 시작하는것을 보면 이파일은 zip파일 일수가있으니까 zip파일로 확장자를 변경해서 판단하는 ..

xplico 설치 xplico = 패킷 파일에서 사용자별로 구체적인 행위를 추출해주는 도구 (시각화 도구) apt-get install xplico service apache2 start service xplico start 접속해보기 http://localhost:9876/ xplico/xplico apt-get upgrade xplico*

1. content:"union+select"; nocase; 룰을 우회하여 union sql injection 공격을 수행하시오 alert tcp any any -> 192.168.1.24 80 (msg:"union sql injection"; content:"union+select"; nocase; sid:0001;) 공격은 ' union all select 1,2,user(),4,5,6,7# all을 추가하여 한다. 2. 'or '1'='1'# 패턴을 차단할 수 있는 룰을 작성하시오 ' or '1'='1'# 이것을 url 인코딩하여 content:" url인코딩한것 " content:"%27+or+%271%27%3D%271%27%23" 특수문자만 바꿔주고 띄어쓰기는 바꿔주지않습니다. 또 ' or '..

beebox 1.6버전을 다운받고 vmware에 띄우고 bee-box 서버에 스노트를 설치합니다. 칼리리눅스가 이제 공격자가되는것입니다. su 관리자 권한신행 bug apt-get update 이곳의 공격을 할 탐지룰을 하나 만듭니다 칼리에서 vi snot-2.9.17/local.rules alert tcp any any -> 192.168.1.24 80 (msg:"sql injection"; sid:0001;) (beebox ip) snort -q -A console -c /root/snort-2.9.17/local.rules 공격을시도한다 ========================================= vi snot-2.9.17/local.rules alert tcp any any -> 1..

내부망으로 원격접속을 시도하는 것을 탐지하는 룰은 alert tcp 192.168.0.0/24 any 192.168.0.0/24 20:21:22:23 (msg:"remote connection"; sid:0001;) 출발지와 목적지를 자신의 서버가 속한 내부망 대역 전체로 설정 목적지 포트를 여러개 지정하는 방법은 콜론을 사용해서 구분합니다.

telnet을 패킷을 캡쳐하려면 칼리에서 wireshark를 키고 메타스플로이터블에 텔넷접속을 한것을 캡쳐한다 텔넷은 아이디를 문자 하나 입력할동시에 다시 서버로 갑니다 그리고 나한테보입니다 ========================================== =========================== 1.telnet 접속 시도 탐지 정상접속은 syn, port scan은 syn , rst를 보내므로, 구분하여 룰을 생성한다. vi snort-2.9.17/local.rules alert tcp any any -> any 23 (msg:"telnet"; sid:0001;) 윈도우cmd ) telnet 192.168.1.80 (metasploitable2로 갑니다) snort -q -A con..

get flooding 다시해보기 offset:0 과 depth:3 첫byte 부터 3byte 사이에서 content탐색 (0부터3글자) alerr tcp any any -> any any (msg:"Get Flooding attack"; content:"GET /"; nocase; threshold:type both, track by_src, count 100, seconds 1; sid:1000160;) 넣기 alert tcp any any -> any any (msg:"Get flooding"; content:"|47 45 54|"; offset:0 depth:3 threshold:both, track by_src, count 20, seconds 1; sid:0001;) get요청은 정상적이지만 ..