Home » » 공격 분석(3부)

공격 분석(3부)

공격 분석(3부)공격 분석(1부)
공격 분석(3부)공격 분석(2부)

돈 파커

이 시리즈의 2부에서는 피해자의 네트워크를 공격하는 데 필요한 모든 정보를 제공했습니다. 이를 염두에 두고 실제 공격으로 넘어가 보겠습니다. 이 공격은 공격을 더욱 심화시키기 위해 여러 개의 요청 프로그램을 전송하는 것을 수반합니다.

단순히 컴퓨터를 공격하고 후퇴하는 것은 무의미하므로, 우리는 강력한 공격을 할 것입니다. 일반적으로 악의적인 공격자의 목표는 컴퓨터 네트워크에서 자신의 존재감을 높이는 것뿐만 아니라 이를 유지하는 것입니다. 즉, 공격자는 여전히 자신의 존재를 숨기고 다른 행동을 취하고 싶어한다는 뜻입니다.

흥미로운 문제

이제 Metasploit Framework를 사용하여 실제 공격을 실시해보겠습니다. 이 작동 메커니즘은 매우 흥미로운데, 다양한 유형의 채굴과 탑재물 선택 시 다양한 옵션을 제공하기 때문입니다. 아마도 역방향 유틸리티나 VNC 주입이 필요하지 않을 수도 있습니다. 탑재량은 종종 다가올 대상, 네트워크 아키텍처, 최종 목표에 따라 달라집니다. 이 경우에는 역방향 유틸리티를 사용하여 이를 수행하겠습니다. 이 방법은 종종 더 유리한데, 특히 대상이 라우터 뒤에 있어 직접 접근할 수 없는 경우에 그렇습니다. 예를 들어, 웹 서버에 "접속"했지만 부하가 여전히 분산된 상태입니다. 정방향 유틸리티로 연결할 수 있다는 보장이 없으므로 컴퓨터에서 역방향 유틸리티를 생성하도록 해야 합니다. Metasploit Framework를 사용하는 방법은 다른 기사에서 다루었을 수 있으므로 여기서는 다루지 않습니다. 그러니 패키지 수준 같은 것에만 집중해 보겠습니다.

이번에는 각 공격 단계를 간단한 이미지와 코드 조각으로 소개하는 방법 대신 다른 공격을 소개하겠습니다. 그러면 Snort의 도움을 받아 공격을 재현해 보겠습니다. 우리는 공격에서 바이너리 로그를 활용한 다음, Snort를 통해 이를 파싱할 것입니다. 이상적으로는 우리가 한 모든 일이 다 똑같아 보이길 바랍니다. 실제로 구현될 것은 증명 패키지입니다. 여기서 목표는 무슨 일이 일어났는지 얼마나 정확하게 조각해 낼 수 있는지 보는 것입니다. 이를 염두에 두고, 실행된 모든 것을 기록한 바이너리 패킷 로그를 사용하고 일부 기본 규칙을 사용하여 Snort를 통해 구문 분석합니다.

Snort 출력

Snort를 호출하는 데 사용되는 구문은 다음과 같습니다.

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

이 구문을 사용하면 Snort가 article_binary라는 바이너리 패킷을 분석합니다. 결과는 아래와 같습니다. 각 섹션을 자세히 살펴볼 수 있도록 Snort 출력을 잘라냈습니다.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

이 섹션은 하나의 공격 동작으로 63개의 경고가 발생했기 때문에 흥미롭습니다. 무슨 일이 일어났는지에 대한 많은 세부 정보를 제공할 수 있는 alert.ids 파일을 살펴보겠습니다. 기억하시겠지만 공격자가 가장 먼저 한 일은 Nmap을 이용해 네트워크 스캔을 수행한 것이었고, 이때 Snort가 트리거한 첫 번째 경고도 생성되었습니다.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

이런 식으로 공격자는 netcat을 사용하여 웹 서버를 열거하여 해당 웹 서버의 유형을 알아냈습니다. 이 작업으로 인해 Snort 경고가 발생하지 않았습니다. 또한 무슨 일이 일어났는지 알아보고 싶어서 패키지 로그를 자세히 살펴보겠습니다. 일반적인 TCP/IP 핸드셰이크 절차를 살펴보면 아래 패킷을 볼 수 있습니다.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

이 패키지에는 GET 요청과 함께 slslsl과 같은 일부 내부 문제가 있다는 사실 외에는 특별한 것이 없습니다. 그러니 실제로는 Snort가 할 수 있는 일이 아무것도 없습니다. 따라서 이러한 유형의 열거 시도를 유발하는 효과적인 IDS 시그니처(또는 시그니처)를 구성하는 것은 매우 어렵습니다. 그래서 그런 서명은 존재하지 않습니다. 그 다음 패킷은 피해자 네트워크의 웹 서버가 자신을 나열하는 곳입니다.

열거가 완료되면 공격자는 즉시 웹 서버에 악용을 실행하는 코드를 보냅니다. 이 코드는 Snort 서명이 활성화된 상태에서 몇 가지 결과를 제공합니다. 구체적으로 아래에 표시된 익스플로잇의 경우 Snort 서명을 볼 수 있습니다.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

공격자가 웹 서버에 접근하면 TFTP 클라이언트를 사용하여 nc.exe, ipeye.exe, fu.exe, msdirectx.exe의 4개 파일을 전송합니다. 이러한 파일이 전송되면 공격자는 netcat을 사용하여 유틸리티를 자신의 컴퓨터로 다시 보냅니다. 그곳에서 그는 초기 공격으로 인해 발생한 다른 유틸리티의 연결을 끊고 netcat 유틸리티에서 나머지 모든 작업을 수행할 수 있습니다. 흥미로운 점은 공격자가 역방향 유틸리티를 통해 수행한 어떤 동작도 Snort에 기록되지 않았다는 것입니다. 그러나 그와 상관없이 공격자는 TFTP를 통해 전송한 루트킷을 사용하여 netcat의 프로세스 정보를 숨겼습니다.

결론

이 시리즈의 세 번째 부분에서는 Snort를 사용한 공격을 시연해 보았습니다. 루트킷을 사용하지 않고 수행된 작업 중 하나를 완벽하게 재현할 수 있습니다. IDS는 매우 유용한 기술이고 네트워크 방어 시스템의 일부이기는 하지만 항상 완벽하지는 않습니다. IDS는 감지할 수 있는 트래픽에 대해서만 경고를 보낼 수 있습니다. 이를 염두에 두고 이 시리즈의 마지막 부분에서는 Snort 시그니처를 작성하는 방법을 알아보겠습니다. 그와 함께 디지털 서명(서명)을 테스트하여 효과를 평가하는 방법도 알아보겠습니다.

Tags: #사이버 공격 #해커
Sign up and earn $1000 a day ⋙

Leave a Comment

공격 분석(1부)

공격 분석(1부)

이 시리즈는 네트워크 취약점을 기반으로 합니다. 이 기사에서는 정찰부터 열거, 네트워크 서비스 악용, 알림 악용 전략까지 실제 공격을 소개합니다. 이러한 모든 단계는 데이터 패킷 수준에서 관찰된 후 자세히 설명됩니다.

공격 분석(2부)

공격 분석(2부)

1부에서는 Nmap이 보낸 패킷 시퀀스를 여는 동안 관찰할 수 있는 정보를 보여드렸습니다. 전송 시퀀스는 컴퓨터나 네트워크에 IP 주소가 할당되었는지 확인하기 위해 ICMP 에코 응답으로 시작합니다.

러시아, 구글에 엄청난 벌금 부과…벌금 규모는 세계 GDP의 몇 배

러시아, 구글에 엄청난 벌금 부과…벌금 규모는 세계 GDP의 몇 배

구글과 러시아 사이에 친크렘린 유튜브 계정 정지를 둘러싼 법적 분쟁에서 막대한 벌금이 부과됐습니다.

전설의 영웅 최신 코드 및 참여 방법

전설의 영웅 최신 코드 및 참여 방법

다양한 매력적인 기프트 코드를 이용하면, 삼국지 전설의 세계를 탐험하는 여정이 더욱 쉬워질 것입니다. 이제 살펴보겠습니다.

전자 기기 조작을 돕기 위해 뇌에 ChatGPT를 이식한 최초의 사람

전자 기기 조작을 돕기 위해 뇌에 ChatGPT를 이식한 최초의 사람

ChatGPT는 환자가 전자 기기를 조작하는 데 도움이 되는 뇌 이식(BCI) 칩 분야의 선구자 중 하나인 Synchron에서 테스트 중입니다.

AI 아트 생성기가 일상 사진을 어떻게 더욱 돋보이게 할까요?

AI 아트 생성기가 일상 사진을 어떻게 더욱 돋보이게 할까요?

일상 사진의 분위기를 바꾸고 싶으신가요? AI 예술 창작 도구를 사용하면 수동 편집으로는 달성할 수 없는 독특하고 창의적인 느낌을 더할 수 있습니다.

오페라의 Aria AI가 유용한 5가지 이유

오페라의 Aria AI가 유용한 5가지 이유

많은 사람들이 AI를 좋아하지 않는 이유는 스스로 원시 데이터를 읽고 분석하고 싶어하기 때문입니다. 하지만 지루한 작업에 막혀 아이디어가 필요할 때는 Opera의 Aria AI를 사용해보세요. 오페라의 Aria AI가 유용한 이유는 다음과 같습니다!

House of Flying Daggers의 최신 코드 및 코드 사용 방법

House of Flying Daggers의 최신 코드 및 코드 사용 방법

Code Thap Dien Mai Phuc은 플레이어에게 Kim Nguyen Bao, Hoan Khon Halo, Gold, Huyen Tinh, Huyen Tinh Chest를 제공합니다.

블랙 신화: 오공이 사이버펑크 2077에서 기록을 훔치다

블랙 신화: 오공이 사이버펑크 2077에서 기록을 훔치다

대부분 긍정적인 리뷰가 쏟아지면서 Black Myth: Wukong이 Steam에서 기록을 경신하고 있다는 것은 놀라운 일이 아닙니다.

오류 코드 0xc00000e에 대해 알아보고 해결 방법을 알아보세요

오류 코드 0xc00000e에 대해 알아보고 해결 방법을 알아보세요

Windows 10을 시작할 때 종종 나타나는 두려운 블루 스크린 오브 데스(BSOD) 오류 코드 0xc00000e는 혼란스러울 수 있습니다.

함께 플레이 공간, 공간 이름 Play Together

함께 플레이 공간, 공간 이름 Play Together

많은 사람들이 Play Together 이름에 공백을 사용하거나 작은 밑줄을 사용하여 이름에 쓰는 글자 사이에 공백을 만듭니다.

Black Beacon PC 다운로드 방법

Black Beacon PC 다운로드 방법

PC에서 Black Beacon을 플레이하는 것은 가능하지만, 이 게임은 현재 공식적으로 이 플랫폼에 최적화되어 있지 않습니다.

구의 표면적과 부피를 계산하는 공식

구의 표면적과 부피를 계산하는 공식

구의 표면적은 큰 원의 면적의 4배이고, 이는 상수 파이에 구의 반지름 제곱을 곱한 값의 4배입니다.

중국이 최초로 달에 유인 착륙할 때 선택한 우주복의 특별한 점은 무엇일까?

중국이 최초로 달에 유인 착륙할 때 선택한 우주복의 특별한 점은 무엇일까?

중국은 2030년까지 최초로 국민을 달에 보내는 것을 목표로 하고 있으며, 이 나라는 다가올 역사적 임무에 사용될 새롭게 디자인된 우주복을 공개했습니다.

신체에 염증을 쉽게 일으키는 음식

신체에 염증을 쉽게 일으키는 음식

많은 음식이 염증과 만성 질환을 유발할 수 있습니다. 신체에 질병을 가져오고 싶지 않다면 너무 많이 섭취하지 말아야 할 음식은 다음과 같습니다.

Zuka Lien Quan 모바일 시즌 S1 2023 플레이 방법 안내

Zuka Lien Quan 모바일 시즌 S1 2023 플레이 방법 안내

주카는 체력이 낮은 챔피언에게 공포의 대상인 암살자로 알려져 있습니다. 시즌 23에서 주카를 효과적으로 사용하는 방법을 알아보세요.

최신 영웅 시대 코드 및 코드 사용 방법

최신 영웅 시대 코드 및 코드 사용 방법

영웅시대 기프트 코드를 통해 선물을 받는 것은 거의 모든 신규 플레이어가 게임에 참여할 때 하는 일입니다.