패킷 검사1

시나리오

시나리오 안에서 잡힙 패킷 캡처본을 가지고

 

1.공격자의 ip주소

2.공격자 서비스에 접속하기 위해 사용한 계정정보

3.공격자가 공격하기 위해 사용한 대상 주소 URL

4.공격자가 사용한 파일 이름

5.공격자가 획득한 개인 정보

6.공격자가 시스템에 침투한 후에  실행한 명령어

 

와 같이 6개의 질문에 답해야 한다.

처음 패킷 캡처본을 봤는데 신기했다. 캡처본 파일은 아래와 같았다.

01 시나리오

 

 

statistics 메뉴에서 계층을 선택하면 계층별로 패킷을 볼 수 있다. 이때 빨간 박스 부분의 패킷은 파일 업로드와 관련된다

 

 

conversations에서 송수신 내역을 확인할 수도 있다

 

 

152 주소가 많이 보이므로 주의 깊게 볼 필요가 있을 것 같다

 

 

packet counter에서 패킷의 수를 볼 수도 있다

 

 

154가 서버인 것을 알 수 있다

 

 

152와 154 간의 패킷을 따로 살펴봤다

 

 

'ctrl+f'를 통해 login을 검색했다. 찾은 패킷에서 마우스 우클릭 빨간 박스 클릭 후 tcp stream 클릭

 

 

로그인 id는 bee, password는 bug임을 알았다!

 

 

빨간박스를 클릭해서 이를 html로 따로 저장도 가능하다

 

 

File 빨간 박스를 클릭하면 object list를 확인할 수 있다. 여기서 http를 확인해 보자.

 

 

이때 이름이 'backdoor'인 의심되는 파일이 확인된다.

빨간 박스 클릭

 

 

저장한 파일을 virustotal에 검색해보니 빨간 표시의 메시지가 많이 나온다!

 

 

이 파일은 webshell 공격에 쓰인 파일이었다

 

 

앞에서 봤던

01 시나리오

파일을 확장자를 pcap으로 따로 저장했다. 이를 networkminer에 드래그 해서 패킷 검사도 가능하다.

사용한 파일 내용 확인 가능

 

 

이를 종합해서 답을 정리해보자.

 

 

1.공격자의 ip주소는

192.168.206.152

 

2.공격자 서비스에 접속하기 위해 사용한 계정정보는 

bee / bug

 

3.공격자가 공격하기 위해 사용한 대상 주소 URL은 

192.168.206.154

 

4.공격자가 사용한 파일 이름은 

php-backdoor.php

 

5.공격자가 획득한 개인 정보는 

시스템정보, 디렉토리

 

6.공격자가 시스템에 침투한 후에  실행한 명령어는

ls, uname