실습 malware traffic 2017-03-13을 실습했다. 간단한 시나리오는 2017-03-13 폴더 안에 Kovter-Locky-malspan.eml 이메일에서 UPS-Label-03667517.zip을 다운받도록 유도하고 있다. 감염 경로를 알아내고 트로잔 파일을 찾아보자. 결과를 종합하면 다음과 같다. 피해자 : 10.3.13.101 server : 50.62.238.1 [bv.truecompassdesigns.net] landing page : 173.201.141.128 [doctors.live] CnC : 77.73.66.227 landing page : 이용자가 검색 엔진, 광고, 등을 경유하여 최초로 접속하는 웹페이지

실습 2017-04-26-USPS-malspam-traffic-1st-run 을 실습했다. 주차 서비스 malspam, office 플러그인으로 위장된 압축 zip 파일에 대한 가짜 word online site에 연결 이메일 링크 클릭 어떤 사이트에 연결 사이트에서 워드를 설치 설치를 위해 zip 파일을 다운 extrated.js 파일 ---> ransomware 악성코드 ransomware(exe1.exe), kovter(exe2.exe) 찾아보자. 정보를 종합하면 다음과 같다. client 10.4.26.101 redirect 185.189.14.112 웹서버 [servisedelivery.com/tds] 공격 주소 213.136.26.180 -> ws/js exe/dll [smulpapentoch..

실습 malware traffic exercise 세번째 예제다. 파일이름은 2016-10-15였다. 목표는 시나리오 상 주인공은 ransomware 공격에 당했다. 어디서부터 이 공격이 시작됐는지 알아보자. 종합하면 피해자 : 10.14.106.192 최초 접속 페이지 : 50.56.223.21[unwrappedphotos.com] redirect 된 페이지 : 109.234.36.251[rew.kaghaan.com] 임을 알 수 있다. 마찬가지로 xplico에서 rew.kaghaan.com 검색 후 다운 받은 파일의 body만 virustotal에서 검색해보자

실습 2016-07-07 malware traffic exercise를 실습했다. 시나리오는 이렇다. 피해자는 메일을 통해 malware 공격을 당했고, 어떤 메일을 통해 공격을 당했는지 알고싶다. SGUIL을 미리 켜놓고 주어진 연습파일을 재생하자. 따라서 2016-07-05에 네 번째 메일을 통해 공격자를 공격했음을 정확히 알 수 있다.

xplico "Xplico"는 네트워크 트래픽 분석 및 패킷 캡처 도구로, 네트워크에서 전송되는 데이터를 모니터링하고 분석하는 데 사용되는 오픈 소스 프로젝트다. Xplico는 주로 디지털 포렌식, 보안 분석, 네트워크 모니터링 등 다양한 분야에서 활용된다. 주요 특징과 기능 패킷 분석 : Xplico는 네트워크에서 캡처한 패킷 데이터를 분석하여 프로토콜, 세션, 사용자 정보 등을 추출한다. 프로토콜 지원 : 다양한 프로토콜을 지원하며, HTTP, SMTP, POP3, IMAP, FTP 등의 프로토콜로부터 데이터를 추출할 수 있다. 세션 재구성 : Xplico는 패킷을 이용하여 사용자 간의 통신 세션을 재구성하고, 이를 기반으로 메시지 본문, 첨부 파일, 이미지 등의 데이터를 추출할 수 있다. 패킷 재조..

security onion "Security Onion"은 네트워크 보안 모니터링 및 이상 징후 탐지를 위한 오픈 소스 플랫폼이다. 이 도구는 네트워크 트래픽 분석, 로그 관리, 이상 징후 탐지 등 다양한 보안 기능을 제공하여 조직이 네트워크 내에서 발생할 수 있는 보안 위협을 식별하고 대응할 수 있도록 돕는다. 주요 특징과 구성 요소 Packet Capture (PCAP) : Security Onion은 네트워크 트래픽을 캡처하여 저장하고 분석하는 기능을 제공한다. 이를 통해 네트워크 활동을 실시간으로 모니터링하고, 필요할 때 패킷을 검토하거나 분석할 수 있다. Intrusion Detection System (IDS) : Security Onion은 Snort와 Suricata와 같은 인트러전 디텍션..