Home » » 공격 분석(3부)

공격 분석(3부)

공격 분석(3부)공격 분석(1부)
공격 분석(3부)공격 분석(2부)

돈 파커

이 시리즈의 2부에서는 피해자의 네트워크를 공격하는 데 필요한 모든 정보를 제공했습니다. 이를 염두에 두고 실제 공격으로 넘어가 보겠습니다. 이 공격은 공격을 더욱 심화시키기 위해 여러 개의 요청 프로그램을 전송하는 것을 수반합니다.

단순히 컴퓨터를 공격하고 후퇴하는 것은 무의미하므로, 우리는 강력한 공격을 할 것입니다. 일반적으로 악의적인 공격자의 목표는 컴퓨터 네트워크에서 자신의 존재감을 높이는 것뿐만 아니라 이를 유지하는 것입니다. 즉, 공격자는 여전히 자신의 존재를 숨기고 다른 행동을 취하고 싶어한다는 뜻입니다.

흥미로운 문제

이제 Metasploit Framework를 사용하여 실제 공격을 실시해보겠습니다. 이 작동 메커니즘은 매우 흥미로운데, 다양한 유형의 채굴과 탑재물 선택 시 다양한 옵션을 제공하기 때문입니다. 아마도 역방향 유틸리티나 VNC 주입이 필요하지 않을 수도 있습니다. 탑재량은 종종 다가올 대상, 네트워크 아키텍처, 최종 목표에 따라 달라집니다. 이 경우에는 역방향 유틸리티를 사용하여 이를 수행하겠습니다. 이 방법은 종종 더 유리한데, 특히 대상이 라우터 뒤에 있어 직접 접근할 수 없는 경우에 그렇습니다. 예를 들어, 웹 서버에 "접속"했지만 부하가 여전히 분산된 상태입니다. 정방향 유틸리티로 연결할 수 있다는 보장이 없으므로 컴퓨터에서 역방향 유틸리티를 생성하도록 해야 합니다. Metasploit Framework를 사용하는 방법은 다른 기사에서 다루었을 수 있으므로 여기서는 다루지 않습니다. 그러니 패키지 수준 같은 것에만 집중해 보겠습니다.

이번에는 각 공격 단계를 간단한 이미지와 코드 조각으로 소개하는 방법 대신 다른 공격을 소개하겠습니다. 그러면 Snort의 도움을 받아 공격을 재현해 보겠습니다. 우리는 공격에서 바이너리 로그를 활용한 다음, Snort를 통해 이를 파싱할 것입니다. 이상적으로는 우리가 한 모든 일이 다 똑같아 보이길 바랍니다. 실제로 구현될 것은 증명 패키지입니다. 여기서 목표는 무슨 일이 일어났는지 얼마나 정확하게 조각해 낼 수 있는지 보는 것입니다. 이를 염두에 두고, 실행된 모든 것을 기록한 바이너리 패킷 로그를 사용하고 일부 기본 규칙을 사용하여 Snort를 통해 구문 분석합니다.

Snort 출력

Snort를 호출하는 데 사용되는 구문은 다음과 같습니다.

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

이 구문을 사용하면 Snort가 article_binary라는 바이너리 패킷을 분석합니다. 결과는 아래와 같습니다. 각 섹션을 자세히 살펴볼 수 있도록 Snort 출력을 잘라냈습니다.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

이 섹션은 하나의 공격 동작으로 63개의 경고가 발생했기 때문에 흥미롭습니다. 무슨 일이 일어났는지에 대한 많은 세부 정보를 제공할 수 있는 alert.ids 파일을 살펴보겠습니다. 기억하시겠지만 공격자가 가장 먼저 한 일은 Nmap을 이용해 네트워크 스캔을 수행한 것이었고, 이때 Snort가 트리거한 첫 번째 경고도 생성되었습니다.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

이런 식으로 공격자는 netcat을 사용하여 웹 서버를 열거하여 해당 웹 서버의 유형을 알아냈습니다. 이 작업으로 인해 Snort 경고가 발생하지 않았습니다. 또한 무슨 일이 일어났는지 알아보고 싶어서 패키지 로그를 자세히 살펴보겠습니다. 일반적인 TCP/IP 핸드셰이크 절차를 살펴보면 아래 패킷을 볼 수 있습니다.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

이 패키지에는 GET 요청과 함께 slslsl과 같은 일부 내부 문제가 있다는 사실 외에는 특별한 것이 없습니다. 그러니 실제로는 Snort가 할 수 있는 일이 아무것도 없습니다. 따라서 이러한 유형의 열거 시도를 유발하는 효과적인 IDS 시그니처(또는 시그니처)를 구성하는 것은 매우 어렵습니다. 그래서 그런 서명은 존재하지 않습니다. 그 다음 패킷은 피해자 네트워크의 웹 서버가 자신을 나열하는 곳입니다.

열거가 완료되면 공격자는 즉시 웹 서버에 악용을 실행하는 코드를 보냅니다. 이 코드는 Snort 서명이 활성화된 상태에서 몇 가지 결과를 제공합니다. 구체적으로 아래에 표시된 익스플로잇의 경우 Snort 서명을 볼 수 있습니다.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

공격자가 웹 서버에 접근하면 TFTP 클라이언트를 사용하여 nc.exe, ipeye.exe, fu.exe, msdirectx.exe의 4개 파일을 전송합니다. 이러한 파일이 전송되면 공격자는 netcat을 사용하여 유틸리티를 자신의 컴퓨터로 다시 보냅니다. 그곳에서 그는 초기 공격으로 인해 발생한 다른 유틸리티의 연결을 끊고 netcat 유틸리티에서 나머지 모든 작업을 수행할 수 있습니다. 흥미로운 점은 공격자가 역방향 유틸리티를 통해 수행한 어떤 동작도 Snort에 기록되지 않았다는 것입니다. 그러나 그와 상관없이 공격자는 TFTP를 통해 전송한 루트킷을 사용하여 netcat의 프로세스 정보를 숨겼습니다.

결론

이 시리즈의 세 번째 부분에서는 Snort를 사용한 공격을 시연해 보았습니다. 루트킷을 사용하지 않고 수행된 작업 중 하나를 완벽하게 재현할 수 있습니다. IDS는 매우 유용한 기술이고 네트워크 방어 시스템의 일부이기는 하지만 항상 완벽하지는 않습니다. IDS는 감지할 수 있는 트래픽에 대해서만 경고를 보낼 수 있습니다. 이를 염두에 두고 이 시리즈의 마지막 부분에서는 Snort 시그니처를 작성하는 방법을 알아보겠습니다. 그와 함께 디지털 서명(서명)을 테스트하여 효과를 평가하는 방법도 알아보겠습니다.

Tags: #사이버 공격 #해커
Sign up and earn $1000 a day ⋙

Leave a Comment

공격 분석(1부)

공격 분석(1부)

이 시리즈는 네트워크 취약점을 기반으로 합니다. 이 기사에서는 정찰부터 열거, 네트워크 서비스 악용, 알림 악용 전략까지 실제 공격을 소개합니다. 이러한 모든 단계는 데이터 패킷 수준에서 관찰된 후 자세히 설명됩니다.

공격 분석(2부)

공격 분석(2부)

1부에서는 Nmap이 보낸 패킷 시퀀스를 여는 동안 관찰할 수 있는 정보를 보여드렸습니다. 전송 시퀀스는 컴퓨터나 네트워크에 IP 주소가 할당되었는지 확인하기 위해 ICMP 에코 응답으로 시작합니다.

일반 TV와 스마트 TV의 차이점

일반 TV와 스마트 TV의 차이점

스마트 TV는 정말로 세상을 휩쓸었습니다. 이렇게 많은 뛰어난 기능과 ​​인터넷 연결 덕분에 기술은 우리가 TV를 시청하는 방식을 바꾸어 놓았습니다.

왜 냉동고에는 조명이 없는데 냉장고에는 조명이 있나요?

왜 냉동고에는 조명이 없는데 냉장고에는 조명이 있나요?

냉장고는 가정에서 흔히 볼 수 있는 가전제품이다. 냉장고는 보통 2개의 칸으로 구성되어 있는데, 냉장실은 넓고 사용자가 열 때마다 자동으로 켜지는 조명이 있는 반면, 냉동실은 좁고 조명이 없습니다.

Wi-Fi 속도를 저하시키는 네트워크 혼잡을 해결하는 2가지 방법

Wi-Fi 속도를 저하시키는 네트워크 혼잡을 해결하는 2가지 방법

Wi-Fi 네트워크는 라우터, 대역폭, 간섭 외에도 여러 요인의 영향을 받지만 네트워크를 강화하는 몇 가지 스마트한 방법이 있습니다.

Tenorshare Reiboot를 사용하여 데이터 손실 없이 iOS 17에서 iOS 16으로 다운그레이드하는 방법

Tenorshare Reiboot를 사용하여 데이터 손실 없이 iOS 17에서 iOS 16으로 다운그레이드하는 방법

휴대폰에서 안정적인 iOS 16으로 돌아가려면 iOS 17을 제거하고 iOS 17에서 16으로 다운그레이드하는 기본 가이드는 다음과 같습니다.

매일 요구르트를 먹으면 몸에 어떤 일이 일어날까요?

매일 요구르트를 먹으면 몸에 어떤 일이 일어날까요?

요거트는 정말 좋은 음식이에요. 매일 요구르트를 먹는 것이 좋은가요? 매일 요구르트를 먹으면, 몸에 어떤 변화가 있을까요? 함께 알아보죠!

어떤 종류의 쌀이 건강에 가장 좋은가요?

어떤 종류의 쌀이 건강에 가장 좋은가요?

이 기사에서는 가장 영양가 있는 쌀 종류와 어떤 쌀을 선택하든 건강상의 이점을 극대화하는 방법에 대해 설명합니다.

아침에 제 시간에 일어나는 방법

아침에 제 시간에 일어나는 방법

수면 일정과 취침 루틴을 정하고, 알람 시계를 바꾸고, 식단을 조절하는 것은 더 나은 수면을 취하고 아침에 제때 일어나는 데 도움이 되는 몇 가지 방법입니다.

Rent Please!를 플레이하기 위한 팁 초보자를 위한 집주인 시뮬레이션

Rent Please!를 플레이하기 위한 팁 초보자를 위한 집주인 시뮬레이션

임대해 주세요! Landlord Sim은 iOS와 Android에서 플레이할 수 있는 모바일 시뮬레이션 게임입니다. 여러분은 아파트 단지의 집주인 역할을 하며 아파트 내부를 업그레이드하고 세입자가 입주할 수 있도록 준비하여 임대를 시작하게 됩니다.

최신 욕실 타워 디펜스 코드 및 코드 입력 방법

최신 욕실 타워 디펜스 코드 및 코드 입력 방법

욕실 타워 디펜스 Roblox 게임 코드를 받고 신나는 보상을 받으세요. 이들은 더 높은 데미지를 지닌 타워를 업그레이드하거나 잠금 해제하는 데 도움이 됩니다.

변압기의 구조, 기호 및 동작 원리

변압기의 구조, 기호 및 동작 원리

변압기의 구조, 기호, 동작 원리에 대해 가장 정확한 방법으로 알아보겠습니다.

AI가 스마트 TV를 더욱 개선하는 4가지 방법

AI가 스마트 TV를 더욱 개선하는 4가지 방법

더 나은 화질과 음질, 음성 제어 등 AI 기반 기능 덕분에 스마트 TV가 훨씬 더 좋아지고 있습니다!

ChatGPT가 DeepSeek보다 나은 이유

ChatGPT가 DeepSeek보다 나은 이유

처음에 사람들은 DeepSeek에 큰 기대를 걸었습니다. ChatGPT의 강력한 경쟁자로 마케팅되는 AI 챗봇으로서, 지능적인 채팅 기능과 경험을 약속합니다.

Fireflies.ai를 만나보세요: 여러분의 업무 시간을 절약해주는 무료 AI 비서

Fireflies.ai를 만나보세요: 여러분의 업무 시간을 절약해주는 무료 AI 비서

다른 필수 사항을 적다 보면 중요한 세부 사항을 놓치기 쉽고, 채팅하면서 메모를 하려고 하면 주의가 산만해질 수 있습니다. Fireflies.ai가 해결책입니다.

마인크래프트에서 악솔로틀 키우는 법, 마인크래프트 도롱뇽 길들이는 법

마인크래프트에서 악솔로틀 키우는 법, 마인크래프트 도롱뇽 길들이는 법

Axolot Minecraft는 플레이어가 사용법을 안다면 수중에서 작업할 때 큰 도움이 될 것입니다.

A Quiet Place: The Road Ahead PC 게임 구성

A Quiet Place: The Road Ahead PC 게임 구성

'콰이어트 플레이스: 더 로드 어헤드'의 구성은 상당히 높은 평가를 받고 있으므로, 다운로드하기로 결정하기 전에 구성을 고려해야 합니다.