Home » » 공격 분석(3부)

공격 분석(3부)

공격 분석(3부)공격 분석(1부)
공격 분석(3부)공격 분석(2부)

돈 파커

이 시리즈의 2부에서는 피해자의 네트워크를 공격하는 데 필요한 모든 정보를 제공했습니다. 이를 염두에 두고 실제 공격으로 넘어가 보겠습니다. 이 공격은 공격을 더욱 심화시키기 위해 여러 개의 요청 프로그램을 전송하는 것을 수반합니다.

단순히 컴퓨터를 공격하고 후퇴하는 것은 무의미하므로, 우리는 강력한 공격을 할 것입니다. 일반적으로 악의적인 공격자의 목표는 컴퓨터 네트워크에서 자신의 존재감을 높이는 것뿐만 아니라 이를 유지하는 것입니다. 즉, 공격자는 여전히 자신의 존재를 숨기고 다른 행동을 취하고 싶어한다는 뜻입니다.

흥미로운 문제

이제 Metasploit Framework를 사용하여 실제 공격을 실시해보겠습니다. 이 작동 메커니즘은 매우 흥미로운데, 다양한 유형의 채굴과 탑재물 선택 시 다양한 옵션을 제공하기 때문입니다. 아마도 역방향 유틸리티나 VNC 주입이 필요하지 않을 수도 있습니다. 탑재량은 종종 다가올 대상, 네트워크 아키텍처, 최종 목표에 따라 달라집니다. 이 경우에는 역방향 유틸리티를 사용하여 이를 수행하겠습니다. 이 방법은 종종 더 유리한데, 특히 대상이 라우터 뒤에 있어 직접 접근할 수 없는 경우에 그렇습니다. 예를 들어, 웹 서버에 "접속"했지만 부하가 여전히 분산된 상태입니다. 정방향 유틸리티로 연결할 수 있다는 보장이 없으므로 컴퓨터에서 역방향 유틸리티를 생성하도록 해야 합니다. Metasploit Framework를 사용하는 방법은 다른 기사에서 다루었을 수 있으므로 여기서는 다루지 않습니다. 그러니 패키지 수준 같은 것에만 집중해 보겠습니다.

이번에는 각 공격 단계를 간단한 이미지와 코드 조각으로 소개하는 방법 대신 다른 공격을 소개하겠습니다. 그러면 Snort의 도움을 받아 공격을 재현해 보겠습니다. 우리는 공격에서 바이너리 로그를 활용한 다음, Snort를 통해 이를 파싱할 것입니다. 이상적으로는 우리가 한 모든 일이 다 똑같아 보이길 바랍니다. 실제로 구현될 것은 증명 패키지입니다. 여기서 목표는 무슨 일이 일어났는지 얼마나 정확하게 조각해 낼 수 있는지 보는 것입니다. 이를 염두에 두고, 실행된 모든 것을 기록한 바이너리 패킷 로그를 사용하고 일부 기본 규칙을 사용하여 Snort를 통해 구문 분석합니다.

Snort 출력

Snort를 호출하는 데 사용되는 구문은 다음과 같습니다.

C:\snort\bin\snort.exe –r c:\article_binary –dv –c snort.conf –A full

이 구문을 사용하면 Snort가 article_binary라는 바이너리 패킷을 분석합니다. 결과는 아래와 같습니다. 각 섹션을 자세히 살펴볼 수 있도록 Snort 출력을 잘라냈습니다.

==============================================================
Snort processed 1345 packets.
==============================================================
Breakdown by protocol:
TCP: 524 (38.959%)
UDP: 810 (60.223%)
ICMP: 11 (0.818%)
ARP: 0 (0.000%)
EAPOL: 0 (0.000%)
IPv6: 0 (0.000%)
ETHLOOP: 0 (0.000%)
IPX: 0 (0.000%)
FRAG: 0 (0.000%)
OTHER: 0 (0.000%)
DISCARD: 0 (0.000%)
==============================================================
Action Stats:
ALERTS: 63
LOGGED: 63
PASSED: 0

이 섹션은 하나의 공격 동작으로 63개의 경고가 발생했기 때문에 흥미롭습니다. 무슨 일이 일어났는지에 대한 많은 세부 정보를 제공할 수 있는 alert.ids 파일을 살펴보겠습니다. 기억하시겠지만 공격자가 가장 먼저 한 일은 Nmap을 이용해 네트워크 스캔을 수행한 것이었고, 이때 Snort가 트리거한 첫 번째 경고도 생성되었습니다.

[**] [1:469:3] ICMP PING NMAP [**]
[Classification: Attempted Information Leak] [Priority: 2]
08/09-15:37:07.296875 192.168.111.17 -> 192.168.111.23
ICMP TTL:54 TOS:0x0 ID:3562 IpLen:20 DgmLen:28
Type:8 Code:0 ID:30208 Seq:54825 ECHO
[Xref => http://www.whitehats.com/info/IDS162]

이런 식으로 공격자는 netcat을 사용하여 웹 서버를 열거하여 해당 웹 서버의 유형을 알아냈습니다. 이 작업으로 인해 Snort 경고가 발생하지 않았습니다. 또한 무슨 일이 일어났는지 알아보고 싶어서 패키지 로그를 자세히 살펴보겠습니다. 일반적인 TCP/IP 핸드셰이크 절차를 살펴보면 아래 패킷을 볼 수 있습니다.

15:04:51.546875 IP (tos 0x0, ttl 128, id 9588, offset 0, flags [DF], proto: TCP (6), length: 51) 192.168.111.17.1347 > 192.168.111.23.80: P, cksum 0x5b06 (correct), 3389462932:3389462943(11) ack 2975555611 win 64240
0x0000: 4500 0033 2574 4000 8006 75d7 c0a8 6f11 E..3%[email protected].
0x0010: c0a8 6f17 0543 0050 ca07 1994 b15b 601b ..o..C.P.....[`.
0x0020: 5018 faf0 5b06 0000 4745 5420 736c 736c P...[...GET.slsl
0x0030: 736c 0a sl.

이 패키지에는 GET 요청과 함께 slslsl과 같은 일부 내부 문제가 있다는 사실 외에는 특별한 것이 없습니다. 그러니 실제로는 Snort가 할 수 있는 일이 아무것도 없습니다. 따라서 이러한 유형의 열거 시도를 유발하는 효과적인 IDS 시그니처(또는 시그니처)를 구성하는 것은 매우 어렵습니다. 그래서 그런 서명은 존재하지 않습니다. 그 다음 패킷은 피해자 네트워크의 웹 서버가 자신을 나열하는 곳입니다.

열거가 완료되면 공격자는 즉시 웹 서버에 악용을 실행하는 코드를 보냅니다. 이 코드는 Snort 서명이 활성화된 상태에서 몇 가지 결과를 제공합니다. 구체적으로 아래에 표시된 익스플로잇의 경우 Snort 서명을 볼 수 있습니다.

[**] [1:1248:13] WEB-FRONTPAGE rad fp30reg.dll access [**]
[Classification: access to a potentially vulnerable web application] [Priority:
2]08/09-15:39:23.000000 192.168.111.17:1454 -> 192.168.111.23:80
TCP TTL:128 TOS:0x0 ID:15851 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x7779253A Ack: 0xAA1FBC5B Win: 0xFAF0 TcpLen: 20
[Xref => http://www.microsoft.com/technet/security/bulletin/MS01-035.mspx][Xref
=> http://cve.mitre.org/cgi-bin/cvename.cgi?name=2001-0341][Xref => http://www.s
ecurityfocus.com/bid/2906][Xref => http://www.whitehats.com/info/IDS555]

공격자가 웹 서버에 접근하면 TFTP 클라이언트를 사용하여 nc.exe, ipeye.exe, fu.exe, msdirectx.exe의 4개 파일을 전송합니다. 이러한 파일이 전송되면 공격자는 netcat을 사용하여 유틸리티를 자신의 컴퓨터로 다시 보냅니다. 그곳에서 그는 초기 공격으로 인해 발생한 다른 유틸리티의 연결을 끊고 netcat 유틸리티에서 나머지 모든 작업을 수행할 수 있습니다. 흥미로운 점은 공격자가 역방향 유틸리티를 통해 수행한 어떤 동작도 Snort에 기록되지 않았다는 것입니다. 그러나 그와 상관없이 공격자는 TFTP를 통해 전송한 루트킷을 사용하여 netcat의 프로세스 정보를 숨겼습니다.

결론

이 시리즈의 세 번째 부분에서는 Snort를 사용한 공격을 시연해 보았습니다. 루트킷을 사용하지 않고 수행된 작업 중 하나를 완벽하게 재현할 수 있습니다. IDS는 매우 유용한 기술이고 네트워크 방어 시스템의 일부이기는 하지만 항상 완벽하지는 않습니다. IDS는 감지할 수 있는 트래픽에 대해서만 경고를 보낼 수 있습니다. 이를 염두에 두고 이 시리즈의 마지막 부분에서는 Snort 시그니처를 작성하는 방법을 알아보겠습니다. 그와 함께 디지털 서명(서명)을 테스트하여 효과를 평가하는 방법도 알아보겠습니다.

Tags: #사이버 공격 #해커
Sign up and earn $1000 a day ⋙

Leave a Comment

공격 분석(1부)

공격 분석(1부)

이 시리즈는 네트워크 취약점을 기반으로 합니다. 이 기사에서는 정찰부터 열거, 네트워크 서비스 악용, 알림 악용 전략까지 실제 공격을 소개합니다. 이러한 모든 단계는 데이터 패킷 수준에서 관찰된 후 자세히 설명됩니다.

공격 분석(2부)

공격 분석(2부)

1부에서는 Nmap이 보낸 패킷 시퀀스를 여는 동안 관찰할 수 있는 정보를 보여드렸습니다. 전송 시퀀스는 컴퓨터나 네트워크에 IP 주소가 할당되었는지 확인하기 위해 ICMP 에코 응답으로 시작합니다.

악마의 열매가 이제 블록스 프루트에서 출시됩니다

악마의 열매가 이제 블록스 프루트에서 출시됩니다

몇 시간마다 플레이어는 무작위로 블록스 과일을 구매할 수 있으며, 이 경우 더 나은 과일을 얻을 가능성이 있습니다. 하지만 악마의 열매 변경 알림이 없다면 기회를 놓칠 수도 있습니다.

Dislyte 캐릭터 순위, Dislyte 티어 목록

Dislyte 캐릭터 순위, Dislyte 티어 목록

Dislyte 캐릭터 순위는 전투에 투입할 가치가 없는 캐릭터부터 팀의 최상위가 될 캐릭터까지 가장 강력한 캐릭터를 분류하는 데 도움이 됩니다.

최신 Phong Ma Dao Si 코드 및 코드 입력 방법

최신 Phong Ma Dao Si 코드 및 코드 입력 방법

또한, Phong Ma Dao Si 기프트 코드를 사용하여 귀중한 상품과 교환할 수도 있습니다.

Duo Mobile이란 무엇인가요? Duo Mobile을 사용하는 것이 안전한가요?

Duo Mobile이란 무엇인가요? Duo Mobile을 사용하는 것이 안전한가요?

인증 앱은 보안을 한 단계 더 강화하며, 개인의 신원을 확인하는 쉽고 편리한 방법입니다. Duo Mobile은 이런 종류의 앱 중 가장 인기 있는 앱 중 하나입니다.

좋은 아침 이미지, 아름다운 새 날 이미지

좋은 아침 이미지, 아름다운 새 날 이미지

좋은 아침 이미지, 긍정적인 메시지가 담긴 좋은 아침 이미지는 우리가 더 많은 에너지와 동기를 얻어 더욱 효과적인 근무일을 보내는 데 도움이 됩니다.

OPPO Reno 5 Pro 5G 리뷰: 다른 경쟁사 주의

OPPO Reno 5 Pro 5G 리뷰: 다른 경쟁사 주의

Reno 5 Pro 5G는 이전 모델과 크게 다르지 않으며, 여전히 6.5인치 AMOLED 곡면 화면을 유지하고 있습니다.

대수란 무엇인가?

대수란 무엇인가?

혼합수는 정수와 분수의 조합입니다. 혼합수의 분수 부분은 항상 1보다 작습니다.

부자처럼 여행하기 위한 팁

부자처럼 여행하기 위한 팁

여행 예산이 부족한가요? 걱정하지 마세요. 유명한 여행 전문가가 공유한 아래 팁을 활용하면 부자처럼 여행하는 데 도움이 될 것입니다.

모바일을 위한 최고의 Obsidian 플러그인 7가지

모바일을 위한 최고의 Obsidian 플러그인 7가지

인터페이스를 조정하고 Obsidian을 더 효율적으로 실행할 수 있도록 하는 것 외에도, 더 풍부한 노트 작성 도구 세트를 제공할 예정입니다.

흐릿한 외부 디스플레이를 수정하는 방법

흐릿한 외부 디스플레이를 수정하는 방법

어두운 외부 디스플레이는 생산성을 저해하고 눈의 피로를 유발할 수 있습니다. 다행히도 흐릿한 화면을 고치는 데 할 수 있는 몇 가지 방법이 있습니다!

남성과 여성의 상징은 어디에서 왔는가?

남성과 여성의 상징은 어디에서 왔는가?

오늘날 인기 있는 남성 및 여성 상징의 의미를 모든 사람이 알고 있는 것은 아닐 수도 있습니다. 남성과 여성의 상징에 대해 더 알아보세요!

과학자들은 블랙홀의 신비한 역사를 해독했습니다.

과학자들은 블랙홀의 신비한 역사를 해독했습니다.

블랙홀에 대한 흔한 오해 중 하나는 블랙홀이 물질을 삼킬 뿐만 아니라 그 물질의 역사까지 삼킨다는 것입니다. 블랙홀의 역사에 대한 진실이 마침내 밝혀졌습니다.

여러 개의 Adobe Mobile 앱이 필요 없습니다. Adobe Express만 있으면 됩니다!

여러 개의 Adobe Mobile 앱이 필요 없습니다. Adobe Express만 있으면 됩니다!

Adobe는 휴대폰에서 4개 이상의 특정 사진 편집 앱을 제공합니다. 모두 너무 유사해서 실제로 필요한 앱을 구분하기 어렵습니다.

일반 TV를 스마트 TV로 바꿔주는 5가지 가젯

일반 TV를 스마트 TV로 바꿔주는 5가지 가젯

일반 TV도 몇 가지 가젯을 사용하면 새로운 기능을 익혀 단 몇 분 만에 값비싼 스마트 TV보다 더 나은 TV가 될 수 있습니다.

파나소닉 에어컨 리모컨 사용 방법

파나소닉 에어컨 리모컨 사용 방법

파나소닉 에어컨 리모컨을 올바르게 사용하면 에어컨의 기능을 최대한 활용하는 데 도움이 됩니다.