침해사고 패킷 분석

와븨 2023. 4. 11. 20:18

분석해야 할 요소

패킷이 굉장히 많아서 도메인 정보가 패킷에 많을 시 → Statics > Resolved Addresses 에서 패킷 정보 안에 도메인이 몇 개인지 분석

이 패킷에는 도메인 정보가 많지는 않음

Statics > Protocol Hierarchy

프로토콜 통계 정보를 확인해보면 TCP 패킷이 가장 많고, 그 중에서도 HTTP 패킷이 많은 것을 알 수 있음

지금 분석하고 있는 패킷은 웹 Shell이 올라간 형태일 가능성이 높다

Statics > Conversations

포트 정보 기준으로 보면 어디서 어디로 접속한 포트들이 많은 지 알 수 있음

이 패킷은 192.168.206.152가 공격자일 가능성이 높다.

Statics > HTTP > Packet Counter

패킷 정보가 많을 때 공격 형태를 확인할 수 있음

Statics > HTTP > Requests

서버 쪽으로 유통한 정보들을 보여줌

공격자가 접속한 아이디와 패스워드는 login.php에서 찾을 수 있을 것이다.

또, php-backdoor.php는 없는 페이지이기 때문에 이 페이지가 web shell일 가능성이 높다.

=> session이 유지되는 동안 공격자가 접속했던 패킷 정보를 보여줌

공격자의 아이디와 패스워드를 확인할 수 있다.

밑 부분에 Save as > upload.html 로 저장하면 공격자가 어떤 페이지에 접속했는지 알 수 있다.

unrestricted file upload를 통해서 backdoor.php 파일을 업로드 했을 가능성이 높다는 것을 알 수 있음

backdoor.php 패킷의 TCP Stream > Save as로 저장해서 확인해보자

=> 공격자가 웹페이지에서 한 행위들을 확인 가능

공격자가 프로세스 정보들을 확인한 걸 알 수 있음

localhost 패킷도 TCP Stream을 확인해보자.

공격자가 공격을 해서 가져온 Database들을 확인할 수 있다.

공격자가 사용했던 파일 이름은 php-backdoor.php 임을 알 수 있다.

*pcap 파일로 변환해서 네트워크 마이너로도 확인할 수 있다.

참고 강의

학습 페이지