본문 바로가기

해킹-보안

패킷 분석을 위한 도구 - PacketTotal

반응형

ி 개요


PacketTotal은 패킷 파일을 분석하는 도구이며 50MB 이하의 pcap 파일만 검사할 수 있다.
이 엔진은 Python으로 코딩되었으며 분석, 유지 및 검색을 용이하게 하기 위해
아래 3가지 오픈 소스 기술이 사용된다.

캡처 내에서 발견된 다양한 프로토콜과 아티팩트를 식별하는 Bro IDS,
캡처 내에서 알려진 악성 트래픽의 서명 기반 식별을 위한 Suricata IDS,
패킷 캡처 메타 데이터를 색인화하고 향후 검색 및 렌더링에 사용할 수 있는 Elasticsearch 등이다.



ி 사용


아래 샘플 제공 사이트에서 PacketTotal에 샘플로 분석해볼 패킷 파일을 다운받는다.
http://www.malware-traffic-analysis.net/2015/08/31/index.html
그리고 PacketTotal에서 해당 패킷 파일을 업로드한다.
https://packettotal.com/

PacektTotal은 침해 사고의 타임 라인을 한 눈에 파악할 수 있어서 좋다.

(사진 화질이 안좋아서 결과가 잘 안보일 것이다. 아래 사이트로 이동하면 확인 가능하다.

https://packettotal.com/app/analysis?id=807d6b7dc194302788bcf13bdc340b10&name=signature_alerts ) 


검사가 끝나면 감염된 익스플로잇 키트(EK)나 페이로드 및 감염된 웹 사이트 등을 보여준다.
우측 하단에 CSV 버튼을 누르면 패킷 검사 결과를 csv 파일로 저장하여 볼 수도 있다.

이 엔진에서 나온 분석 결과는 하나의 참고용일 뿐이니 이 패킷 분석 도구 외에도
Xplico나 Wireshark와 같은 다양한 도구를 활용해서 감염된 경로를 파악해야 한다.

PacketTotal에서 검사된 결과를 간략하게 표현하면 아래와 같다.
첫 번째 타임 라인을 보면 vitaminsthatrock.com이라는 사이트에 EK가 심어져
어디론가 Redirection 된다는 것을 추정해볼 수 있다.

Xplico로 비타민 사이트의 소스 코드를 확인해보니 특정한 곳으로
Redirection 되고 있다.


리다이렉션 되는 주소가 PacketTotal에 두 번째 타임라인(악성 Reboot EK)과 일치하는 것을 
확인할 수 있다.
그 후 랜딩 페이지로부터 악성 행위가 존재하는 flash 파일을 다운하고 실행하였다.
PacketTotal에서 해당 악성 행위 파일은 Transferred Files 항목을 클릭하면 볼 수 있다.
실행된 flash 파일을 통해 피해자는 랜섬웨어에 감염된 후 C&C서버에 Beacon을 전송하여 

C&C 서버와 연결이 됐다.

정리하자면 vitaminsthatrock.com는 정상적인 사이트였는데 감염 이후
iframe 태그에 의해 랜딩 페이지(46.108.156.181)로 유도 됐고 랜딩페이지로 부터
악성 flash가 실행 되면서 피해자는 랜섬웨어에 감염되고
C&C서버(asecproteccion.com)(72.55.148.19)와 연결이 된 것이다.


여기서 비타민 사이트는 인터넷 익스플로러 취약점으로 인해서 EK가 심어졌고
타임라인 중간에 ipinfo는 피해자의 공인 IP를 수집한 것으로 추정된다.

패킷토탈을 이용하면 분석 포인트를 파악하는데 많은 도움을 준다.
실제 패킷을 분석하기 전에 패킷토탈을 활용하여 전체적인 흐름을 파악해두는 것이 좋다.
물론 오탐도 존재하기 때문에 분석 결과에 대해 무조건 신뢰하지 말고
어떤 이벤트가 있었는지 추정하는 정도로서 접근하는것을 권장한다. 


반응형

'해킹-보안' 카테고리의 다른 글

ARP spoofing 공격 실습  (0) 2020.06.03
DDoS 패킷 분석 및 대응 방법  (0) 2020.06.02
포트 스캐닝을 위한 TCP 제어 플래그의 이해  (0) 2020.05.30
MALSPAM 패킷 분석  (0) 2020.05.28
스팸 메일 확인 방법  (0) 2020.05.24