공격 분석(3부)

공격 분석(1부)
공격 분석(2부)

돈 파커

이 시리즈의 2부에서는 피해자의 네트워크를 공격하는 데 필요한 모든 정보를 제공했습니다. 이를 염두에 두고 실제 공격으로 넘어가 보겠습니다. 이 공격은 공격을 더욱 심화시키기 위해 여러 개의 요청 프로그램을 전송하는 것을 수반합니다.

단순히 컴퓨터를 공격하고 후퇴하는 것은 무의미하므로, 우리는 강력한 공격을 할 것입니다. 일반적으로 악의적인 공격자의 목표는 컴퓨터 네트워크에서 자신의 존재감을 높이는 것뿐만 아니라 이를 유지하는 것입니다. 즉, 공격자는 여전히 자신의 존재를 숨기고 다른 행동을 취하고 싶어한다는 뜻입니다.

흥미로운 문제

이제 Metasploit Framework를 사용하여 실제 공격을 실시해보겠습니다. 이 작동 메커니즘은 매우 흥미로운데, 다양한 유형의 채굴과 탑재물 선택 시 다양한 옵션을 제공하기 때문입니다. 아마도 역방향 유틸리티나 VNC 주입이 필요하지 않을 수도 있습니다. 탑재량은 종종 다가올 대상, 네트워크 아키텍처, 최종 목표에 따라 달라집니다. 이 경우에는 역방향 유틸리티를 사용하여 이를 수행하겠습니다. 이 방법은 종종 더 유리한데, 특히 대상이 라우터 뒤에 있어 직접 접근할 수 없는 경우에 그렇습니다. 예를 들어, 웹 서버에 "접속"했지만 부하가 여전히 분산된 상태입니다. 정방향 유틸리티로 연결할 수 있다는 보장이 없으므로 컴퓨터에서 역방향 유틸리티를 생성하도록 해야 합니다. Metasploit Framework를 사용하는 방법은 다른 기사에서 다루었을 수 있으므로 여기서는 다루지 않습니다. 그러니 패키지 수준 같은 것에만 집중해 보겠습니다.

이번에는 각 공격 단계를 간단한 이미지와 코드 조각으로 소개하는 방법 대신 다른 공격을 소개하겠습니다. 그러면 Snort의 도움을 받아 공격을 재현해 보겠습니다. 우리는 공격에서 바이너리 로그를 활용한 다음, Snort를 통해 이를 파싱할 것입니다. 이상적으로는 우리가 한 모든 일이 다 똑같아 보이길 바랍니다. 실제로 구현될 것은 증명 패키지입니다. 여기서 목표는 무슨 일이 일어났는지 얼마나 정확하게 조각해 낼 수 있는지 보는 것입니다. 이를 염두에 두고, 실행된 모든 것을 기록한 바이너리 패킷 로그를 사용하고 일부 기본 규칙을 사용하여 Snort를 통해 구문 분석합니다.

Snort 출력

Snort를 호출하는 데 사용되는 구문은 다음과 같습니다.

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

이 구문을 사용하면 Snort가 article_binary라는 바이너리 패킷을 분석합니다. 결과는 아래와 같습니다. 각 섹션을 자세히 살펴볼 수 있도록 Snort 출력을 잘라냈습니다.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

이 섹션은 하나의 공격 동작으로 63개의 경고가 발생했기 때문에 흥미롭습니다. 무슨 일이 일어났는지에 대한 많은 세부 정보를 제공할 수 있는 alert.ids 파일을 살펴보겠습니다. 기억하시겠지만 공격자가 가장 먼저 한 일은 Nmap을 이용해 네트워크 스캔을 수행한 것이었고, 이때 Snort가 트리거한 첫 번째 경고도 생성되었습니다.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

이런 식으로 공격자는 netcat을 사용하여 웹 서버를 열거하여 해당 웹 서버의 유형을 알아냈습니다. 이 작업으로 인해 Snort 경고가 발생하지 않았습니다. 또한 무슨 일이 일어났는지 알아보고 싶어서 패키지 로그를 자세히 살펴보겠습니다. 일반적인 TCP/IP 핸드셰이크 절차를 살펴보면 아래 패킷을 볼 수 있습니다.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

이 패키지에는 GET 요청과 함께 slslsl과 같은 일부 내부 문제가 있다는 사실 외에는 특별한 것이 없습니다. 그러니 실제로는 Snort가 할 수 있는 일이 아무것도 없습니다. 따라서 이러한 유형의 열거 시도를 유발하는 효과적인 IDS 시그니처(또는 시그니처)를 구성하는 것은 매우 어렵습니다. 그래서 그런 서명은 존재하지 않습니다. 그 다음 패킷은 피해자 네트워크의 웹 서버가 자신을 나열하는 곳입니다.

열거가 완료되면 공격자는 즉시 웹 서버에 악용을 실행하는 코드를 보냅니다. 이 코드는 Snort 서명이 활성화된 상태에서 몇 가지 결과를 제공합니다. 구체적으로 아래에 표시된 익스플로잇의 경우 Snort 서명을 볼 수 있습니다.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

공격자가 웹 서버에 접근하면 TFTP 클라이언트를 사용하여 nc.exe, ipeye.exe, fu.exe, msdirectx.exe의 4개 파일을 전송합니다. 이러한 파일이 전송되면 공격자는 netcat을 사용하여 유틸리티를 자신의 컴퓨터로 다시 보냅니다. 그곳에서 그는 초기 공격으로 인해 발생한 다른 유틸리티의 연결을 끊고 netcat 유틸리티에서 나머지 모든 작업을 수행할 수 있습니다. 흥미로운 점은 공격자가 역방향 유틸리티를 통해 수행한 어떤 동작도 Snort에 기록되지 않았다는 것입니다. 그러나 그와 상관없이 공격자는 TFTP를 통해 전송한 루트킷을 사용하여 netcat의 프로세스 정보를 숨겼습니다.

결론

이 시리즈의 세 번째 부분에서는 Snort를 사용한 공격을 시연해 보았습니다. 루트킷을 사용하지 않고 수행된 작업 중 하나를 완벽하게 재현할 수 있습니다. IDS는 매우 유용한 기술이고 네트워크 방어 시스템의 일부이기는 하지만 항상 완벽하지는 않습니다. IDS는 감지할 수 있는 트래픽에 대해서만 경고를 보낼 수 있습니다. 이를 염두에 두고 이 시리즈의 마지막 부분에서는 Snort 시그니처를 작성하는 방법을 알아보겠습니다. 그와 함께 디지털 서명(서명)을 테스트하여 효과를 평가하는 방법도 알아보겠습니다.