malware traffic exercise2

실습

2016-07-07 malware traffic exercise를 실습했다. 시나리오는 이렇다.

피해자는 메일을 통해 malware 공격을 당했고, 어떤 메일을 통해 공격을 당했는지 알고싶다.

 

 

SGUIL을 미리 켜놓고 주어진 연습파일을 재생하자.

공격 내용을 단번에 확인 가능

 

 

networkminer에서 피해자로 의심되는 ip 주소의 세부정보 확인

 

 

공격자로 의심되는 사이트 주소와 세부정보 확인

 

 

networkminer에서 해당 사이트에서 받은 파일 확인 가능

 

 

xplico에서 공격자 사이트에서 다운받은 파일 확인 가능

 

 

직접 다운로드 해보자

 

 

trojan 파일임을 확인 가능. 즉, 공격자 사이트가 확실하다

 

 

피해자가 공격자로부터 받은 파일들은 그림 파일 확장자이지만 열리지 않는다. 따라서 공격이 목적인 파일들임을 알 수 있다

 

 

파일 FedEx_ID_00000611231.doc.js이 첨부된 네 번째 메일을 확인해보자

 

 

네 번째 메일의 첨부파일을 열면 자바스크립트 난독화되어 있다. 해독하기 위해 처음 부분에 <script> 입력

 

 

끝부분에 함수 eval을 document.write로 수정 후 </script> 입력

 

 

확장자를 html로 수정 후 확인하면 공격자의 사이트 주소로 링크됨을 확인 가능

따라서 2016-07-05에 네 번째 메일을 통해 공격자를 공격했음을 정확히 알 수 있다.