Without a Break

분석해야 할 것 공격에 성공한 공격자 IP 공격자 이외 서비스에 접근한 IP 공격자가 시스템에 침투하기 위해 접근한 서비스 포트 공격자가 이용한 취약점 공격자가 리버스 공격을 하기 위해 사용한 포트 공격자가 올린 웹쉘의 이름과 md5 해시 값 공격자가 웹쉘을 올린 뒤에 사용한 명령어 얘는 패킷이 좀 많음.. 패킷 통계 보면 저번 사례와 마찬가지로 TCP 안의 HTTP가 많은 것을 확인할 수 있음 특히 HTTP안의 Media Type이 큼 카운터를 확인해보자 SQL Injection 같은 공격을 하면 4xx쪽으로 쏠리는데, 이건 정상 state code가 많다 => 정상적인 페이지로 접근해서 시스템을 공격했음을 추측할 수 있다 도메인을 확인해보니 공격했던 웹서비스 포트는 8180임을 알 수 있었다. att..

분석해야 할 요소 공격자의 IP 주소 공격자가 서비스에 저속하기 위해 사용한 계정 정보 공격자가 공격하기 위해 사용한 대상 주소 URL 공격자가 사용한 파일 이름 공격자가 획득한 개인 정보 공격자가 시스템에 침투 한 후에 실행한 명령어 패킷이 굉장히 많아서 도메인 정보가 패킷에 많을 시 → Statics > Resolved Addresses 에서 패킷 정보 안에 도메인이 몇 개인지 분석 이 패킷에는 도메인 정보가 많지는 않음 Statics > Protocol Hierarchy 프로토콜 통계 정보를 확인해보면 TCP 패킷이 가장 많고, 그 중에서도 HTTP 패킷이 많은 것을 알 수 있음 지금 분석하고 있는 패킷은 웹 Shell이 올라간 형태일 가능성이 높다 Statics > Conversations 포트 ..

ITS(Intelligent Transport System) : 지능형 교통체계; 교통, 전자, 통신, 제어 등 첨단기술을 도로, 차량, 화물 등 교통체계의 구성요소에 적용하여 실시간으로 교통정보를 수집, 관리, 제공하는 시스템 ex) 버스 도착 안내 시스템, 교차로에서 교통량에 따라 자동으로 신호가 바뀌는 시스템, 하이패스 등 C-ITS(Cooperative Intelligent Transport System) : V2X 통신기술을 이용해 전방의 교통사고 및 장애물과 주변 차량정보를 공유하여 위험상황을 피할 수 있도록 사전에 경고하는 미래형 교통체계 시스템 센서기반의 자율주행자동차의 한계 극복을 위해 C-ITS 개발 필요 => C-ITS의 대상이 되는 차량, 인프라, 사람, 네트워크 간 통신을 위해 통..

LIN (Local Interconnect Network)이란? : 차량 내부 통신 분야에서 사용되는 HW & SW 프로토콜 중 하나로서, 복잡한 차량 내부에서 다양한 기기들이 통신할 수 있는 인터페이스를 제공하는 저속 통신 프로토콜 (LIN Bus와 같은 의미) 특징 내용 통신 방식 단방향 통신 전송 속도 20kbps 이하 통신 거리 수 m 이내 케이블 타입 단선 케이블 노드 수 최대 16개 프로토콜 Master-Slave 방식, CSMA/CR 프로토콜 사용 용도 저속, 단순 제어 기능에 적합 응용 분야 자동차의 전기/전자 시스템, 기타 산업용 제어 장치 등 LIN의 주요 특징 LIN의 노드 체계 LIN은 노드 체계에 있어 Master-Slave 구조를 사용한다. Master 노드는 다수의 Slave ..

Desktop 디렉토리로 경로를 바꿔준다. security.txt를 생성하고 내용을 입력 후 Esc > :wq를 입력해 저장하고 나온다. *a키를 눌러서 입력 cat 명령을 통해 제대로 입력되었는지 확인해준다. 현재 ftp의 서버는 xubuntu이기 때문에, xubuntu의 IP주소로 ftp를 실행한다. 실행 후, passive auto 명령을 입력해 클라이언트에서 서버의 포트로 접속해준다. 경로를 Desktop으로 이동해준다. put명령으로 security.txt 파일을 xubuntu 서버(ftp 서버)로 이동시킨다. Xubuntu로 가보면 바탕화면에 security.txt 파일이 생성된 것을 확인할 수 있다. 이제 Xubuntu(FTP 서버)에 있는 파일을 Kali(클라이언트 서버)로 불러오는 실습을..

Xubuntu에서 와이어샤크를 실행하고 ens33을 선택한다. Kali에서 nmap을 실행한다. *-sU는 UDP에서 사용 Xubuntu에서 실행한 와이어샤크를 확인하면 SSDP 패킷이 온 것을 확인할 수 있다. udp.stream으로 필터링해서 UDP 패킷 흐름을 확인한다. udp.stream eq 2 로 필터링 : 닫혀있는 포트 흐름을 확인한다. 25번 포트를 확인하면 닫혀있음을 알 수 있다. TCP는 닫혀있는 포트도 들어왔던 포트로 통신한다. 하지만 UDP는 특이하게 UDP를 통해서는 포트가 연결되어 있지만 닫힌 포트에 대해서는 icmp를 사용하는데, icmp에는 따로 포트가 반영되지 않는다. UDP는 열려있는 포트로부터 특정 UDP 응답 값이 수신되고, 닫혀있는 포트로부터는 ICMP port Un..

stealth 스캔: 공격자는 정상적인 3-way handshake 과정이 완료되지 않게하여 로그가 남기지 않도록 포트를 스캔하는데, 이것을 stealth 스캔이라고 함. Xubuntu에서 와이어샤크를 실행하고, ens33을 선택해준다. Kali에서 nmap을 실행해준다. *일반적으로 TCP스캔은 -sT 사용 Xubuntu에서 실행시킨 와이어샤크를 확인하면 다수의 SYN과 RST-ACK 패킷을 확인할 수 있다. tcp.stream으로 필터링해서 TCP에서의 패킷 흐름을 파악한다. tcp.stream eq 0 으로 필터링 : 열려있는 포트의 흐름 확인 tcp.stream eq 2 로 필터링 : 닫혀있는 포트의 흐름 확인 554 포트는 닫혀있음을 알 수 있음 21번 포트는 열려있음을 확인할 수 있음

Wireshark statistics > Protocol Hierarchy 계층적 프로토콜에 대해 볼 수 있음. statistics > HTTP > Packet Counter 상태 코드 별로 어떤 패킷이 많이 돌아다니나 알 수 있음 statistics > HTTP > Requests 어떤 요청들을 했는가 볼 수 있음 File > Export Objects > HTTP 요청한 형태, 타입 별로 저장되어 있음 NetworkMiner 악성코드 분석 또는 포렌식 분석에 많이 사용 와이어샤크보다 정렬이 잘 되어있고, 분석이 빠름 File 오른쪽 마우스 > open folder 파일명과 파일 확장자가 다 저장되어있음 Credentials 쿠키 정보, 쿼리로 넘어가는 username과 passwd 파일 같은 것이 있..