공격 분석(2부)

공격 분석(1부)

돈 파커

1부에서는 Nmap이 보낸 패킷 시퀀스를 여는 동안 관찰할 수 있는 정보를 보여드렸습니다. 전송 시퀀스는 컴퓨터나 네트워크에 IP 주소가 할당되었는지 확인하기 위해 ICMP 에코 응답으로 시작합니다.

또한, 공격을 받는 컴퓨터의 네트워크가 Windows 기반 네트워크라는 것은 해당 컴퓨터에서 전송하는 ICMP 에코 응답 패킷의 TTL을 통해 추측할 수 있습니다. 지금 해야 할 일은 Nmap 스캐너에서 남아 있는 패킷을 계속 관찰하고, 피해자 네트워크의 프로필을 알아낼 수 있는 나머지 정보를 찾아내는 것입니다.

계속하다

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

위의 두 패킷은 1부에서 관찰한 ICMP 패킷 이후에 왔습니다. Nmap은 포트 80을 통해 피해자 네트워크 IP 192.168.111.23에 ACK 패킷을 보냈습니다. 위조된 정보이므로 여기서는 전체적인 상황을 파악할 수 없습니다. 공격자로부터 수신된 ACK 패킷은 예상치 못한 응답인 RST 패킷이라는 것만 알 수 있습니다. 이는 본질적으로 이전에 확립된 연결의 일부가 아닙니다. 우리는 여전히 이전에 관찰된 ttl에 해당하는 128의 ttl을 가지고 있습니다.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK와 RST 패킷 교환을 따라, 굵은 S로 표시된 패킷에서 알 수 있듯이 해커에서 피해자 네트워크로 실제 SYN 패킷이 전송되었음을 알 수 있습니다. 이를 통해 SYN/ACK 패킷이 피해자 네트워크의 포트 21에서 돌아온다는 것을 알 수 있습니다. 그런 다음 해커의 컴퓨터에서 피해자 네트워크로 RST 패킷이 전송되어 이러한 교환이 종료됩니다. 이 세 개의 패킷에는 이제 위조품에 대한 풍부한 정보가 담겨 있습니다.

피해자의 컴퓨터에서는 ttl 128도 있고 win64240도 있습니다. 이 값은 나열되어 있지 않지만 실제로 Win32(Win NT, 2K, XP, 2K3와 같은 Microsoft Windows의 32비트 버전)에서 여러 번 본 크기입니다. Windows 컴퓨터의 또 다른 한계는 IP ID의 개수를 예측할 수 없다는 것입니다. 이 경우에는 IP ID 값이 하나만 있습니다. 이 컴퓨터가 Microsoft Windows 컴퓨터라고 확실하게 말할 수 있으려면 최소한 하나 이상의 값이 필요합니다. Nmap 스캔에서 남은 패킷을 살펴보세요.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

해커가 살펴보는 첫 번째 정보는 IP ID 번호가 399로 증가하는지 확인하는 것입니다. 패킷 중간에서 볼 수 있듯이 이 DI IP는 실제로 399입니다. 이 정보를 바탕으로 해커는 자신이 공격하는 피해자의 컴퓨터가 Windows NT, 2K, XP 또는 2K3라는 것을 확신하게 됩니다. 또한 이 패킷 시퀀스에서 관찰된 점은 피해자 네트워크의 포트 80에 서비스가 있는 것으로 보이는데, 이는 SYN/ACK 패킷을 통해 입증됩니다. SYN/ACK 패킷은 TCP 헤더의 플래그 필드를 조사하여 확인하며, 이 경우 밑줄 친 16진수 값은 10진수로 12 또는 18입니다. 이 값은 SYN 플래그 2 값을 ACK 플래그 16 값에 더하여 감지할 수 있습니다.

열거

해커가 21번과 80번 포트가 모두 기업에 열려 있다는 것을 알게 되면 열거 상태로 전환됩니다. 지금 그가 알아야 할 것은 어떤 유형의 웹 서버가 연결을 수신하고 있는가이다. 해커가 IIS 웹 서버의 Apache 취약점을 이용하는 것은 무의미할 것입니다. 이를 염두에 두고 공격자는 cmd.exe 세션을 열고 네트워크 유형을 알아낼 것입니다.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

위에 표시된 네트워크 유형이나 해커가 피해자의 IP 주소와 포트 80을 입력한 nc.exe 구문을 볼 수 있습니다. 해커는 침입에 성공하면 GET 메서드의 HTTP를 입력한 다음 문법적으로 잘못된 문장을 입력합니다. 이러한 동작으로 인해 피해자 네트워크의 웹 서버가 요청 내용을 이해하지 못할 경우 해당 시스템으로 정보를 다시 보낼 수 있습니다. 그래서 해커가 필요로 하는 정보를 자연스럽게 나열하는 거죠. 해커는 이제 자신이 Microsoft IIS 5.0에 있다는 것을 알 수 있습니다. 해커들이 이 버전을 악용한 여러 가지 방법을 개발했기 때문에 더 좋은 소식이 있습니다.

결론

해커는 Nmap을 사용하여 피해자의 네트워크를 스캔함으로써 일련의 중요한 데이터 패킷을 수신할 수 있습니다. 앞서 살펴본 것처럼 이러한 데이터 패킷 안에는 해커가 아키텍처, 운영 체제, 네트워크 유형, 서버 유형의 취약점을 악용할 수 있는 정보가 가득 들어 있습니다.

간단히 말해, 이런 방식을 통해 해커는 호스트, 아키텍처, 제공되는 서비스에 대한 핵심 정보를 얻을 수 있습니다. 해커는 이 정보를 입수해 피해자 네트워크의 웹서버에 공격을 가할 수 있습니다. 다음 섹션에서는 해커가 사용자를 공격하기 위해 사용할 수 있는 공격에 대해 자세히 소개합니다.

공격 분석(3부)