공격 분석(1부)

돈 파커

이 시리즈는 네트워크 취약점을 기반으로 합니다. 이 기사에서는 정찰부터 열거, 네트워크 서비스 악용, 알림 악용 전략까지 실제 공격을 소개합니다.

이러한 모든 단계는 데이터 패킷 수준에서 관찰된 후 자세히 설명됩니다. 패킷 수준에서 공격을 관찰하고 이해하는 능력은 시스템 관리자와 네트워크 보안 담당자 모두에게 매우 중요합니다. 방화벽, 침입 탐지 시스템(IDS) 및 기타 보안 장치의 출력은 항상 실제 네트워크 트래픽을 확인하는 데 사용됩니다. 패킷 수준에서 보고 있는 내용을 이해하지 못한다면, 지금까지 사용해 온 모든 네트워크 보안 기술은 아무런 의미가 없습니다.

사이버 공격을 시뮬레이션하는 데 사용되는 도구는 다음과 같습니다.

엔맵
아이피아이
TCP덤프
메타스플로잇 프레임워크
넷캣
SolarWinds TFTP 서버
TFTP 클라이언트
FU 루트킷

설정 단계

오늘날 인터넷에는 다양한 스캐닝 활동이 있으며, 바이러스와 같은 웜 및 기타 악성 프로그램의 활동은 말할 것도 없습니다. 이러한 모든 것들은 잘 보호된 컴퓨터 네트워크에는 무해한 소음일 뿐입니다. 우리가 주목해야 할 것은 의도적으로 컴퓨터 네트워크를 공격하는 사람입니다. 이 기사에서는 공격자가 이미 피해자를 공격했고 피해자의 IP 주소와 네트워크 주소를 찾는 등 사전 조사를 수행했다고 가정합니다. 이 공격자는 해당 네트워크와 관련된 이메일 주소 등의 정보를 악용하려고 시도했을 수도 있습니다. 공격자가 스캐닝, 열거 및 스푸핑 작업을 수행한 후 네트워크에 들어갈 방법을 찾았지만 들어갈 수 없는 경우 이러한 유형의 정보가 매우 중요합니다. 그가 수집한 이메일 주소는 이메일의 링크를 통해 사용자를 악성 웹사이트로 초대하여 클라이언트 측 공격을 시도하는 데 유용할 것입니다. 다음 기사에서는 이러한 유형의 공격에 대해 소개합니다.

작동 원리

해커가 피해자 네트워크를 스캐닝하고 열거하는 과정을 관찰해야 합니다. 해커가 사용하는 첫 번째 도구는 Nmap입니다. Nmap은 IDS 시그니처가 비교적 적지만 여전히 매우 유용하고 널리 사용되는 도구입니다.

공격 분석(1부)

위에 표시된 작은 화면에서 해커가 사용한 구문을 통해 해커가 Metasploit Framework를 통해 사용할 수 있는 몇 가지 익스플로잇을 가지고 있기 때문에 포트 21과 80을 선택했다는 것을 알 수 있습니다. 그뿐만 아니라 그는 시스템 서비스와 프로토콜도 아주 잘 이해하고 있었습니다. 그는 가장 흔히 사용되는 포트 스캔 유형인 SYN 스캔을 사용하고 있다는 것이 매우 분명합니다. 또한 포트에서 수신 대기 중인 TCP 서비스가 SYN 패킷을 받으면 SYN/ACK(응답) 패킷을 다시 보내기 때문에 이런 현상이 발생합니다. SYN/ACK 패킷은 서비스가 실제로 연결을 수신하고 기다리고 있음을 나타냅니다. 그러나 UDP의 경우는 이와 다릅니다. UDP는 DNS와 같은 서비스에 의존합니다(DNS도 TCP를 사용하지만 대부분의 거래에는 주로 UDP를 사용합니다).

아래에 나열된 구문은 Nmap이 보낸 패킷에서 수집한 출력이지만, 더 정확히는 SYN 스캔을 수행한 결과로 수신한 패킷에서 수집한 출력입니다. 표면적으로는 FTP와 HTTP 서비스가 모두 제공되는 것처럼 보입니다. 우리는 MAC 주소에 관심이 없으므로 무시하겠습니다. Nmap과 같은 도구는 오류가 발생하기 쉽지 않으므로 정확성을 보장하기 위해 패킷 수준에서 정보를 검증하는 데 적합한 경우가 많습니다. 그뿐만 아니라, 피해자 네트워크에서 반환 패킷을 관찰하여 해당 위치에서 아키텍처, 서비스 및 호스트 정보를 수집할 수도 있습니다.

패킷을 찾아보세요.

오늘날에는 패킷을 파헤쳐 운영 체제 유형, x86이나 SPARC와 같은 아키텍처 정보 등의 필수 정보를 찾아내는 프로그램이 많이 있습니다. 그것만으로는 충분하지 않지만, 프로그램이 우리를 대신해 일을 하도록 하는 방법을 배울 때에도 중요합니다. 이를 염두에 두고 Nmap 패킷 추적을 살펴보고 피해자 네트워크에 대한 정보를 알아보겠습니다.

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

위의 두 패킷에는 Nmap의 오픈 배치가 표시되어 있습니다. 이 악성코드가 하는 일은 피해자 네트워크에 ICMP 에코 요청을 보내는 것입니다. ICMP는 포트를 사용하지 않고 TCP/IP 프로토콜 스택에 내장된 ICMP 오류 메시지 생성기에 의해 관리되기 때문에 특정 포트에 해당 기능이 탑재되어 있지 않다는 것을 알 수 있습니다. 이 ICMP 패킷에는 고유한 번호(이 경우 38214)가 지정되어 TCP/IP 스택이 반환 트래픽을 조사하고 이전에 전송된 ICMP 패킷과 연관시키는 데 도움이 됩니다. 바로 위의 패킷은 ICMP 에코 응답 형태의 피해자 네트워크로부터의 응답입니다. 또한 문자열 번호 38214를 고려합니다. 이를 통해 해커는 해당 IP 주소 뒤에 컴퓨터나 네트워크가 있다는 것을 알 수 있습니다.

Nmap이 IDS 표기법을 사용하는 이유는 이러한 개방형 ICMP 패킷 시퀀스 때문입니다. 원하는 경우 Nmap에서 ICMP 호스트 검색 옵션을 비활성화할 수 있습니다. 피해자 네트워크의 ICMP 에코 응답 패킷 결과를 통해 어떤 유형의 정보를 얻을 수 있습니까? 사실, 네트워크를 이해하는 데 도움이 되는 정보는 많지 않습니다. 그러나 운영 체제와 관련된 영역에서는 여전히 예비 단계를 활용할 수 있습니다. 위 패키지에서는 필드를 채우는 데 걸리는 시간과 그 옆에 있는 값이 굵게 강조 표시되어 있습니다. 값 128은 이 컴퓨터가 아마도 Windows 컴퓨터라는 사실을 나타냅니다. TTL 값은 OS와 관련된 것이 무엇인지 정확히 알려주지는 않지만, 우리가 고려할 다음 패키지의 기초가 될 것입니다.

결론

이 1부에서는 Nmap을 사용하여 두 개의 특정 포트에 대한 공격에서 네트워크를 스캔하는 방법을 살펴보았습니다. 이 시점에서 공격자는 해당 IP 주소에 컴퓨터나 컴퓨터 네트워크가 있다는 것을 확실히 알게 됩니다. 이 시리즈의 2부에서는 이 패킷의 추적에 대한 연구를 계속하고, 얻을 수 있는 다른 정보가 무엇인지 알아보겠습니다.

공격 분석(1부) 공격 분석(2부)
공격 분석(3부)