와이어샤크란?
와이어샤크는 네트워크에 흐르는 패킷을 캡쳐하고 분석하는 오픈소스 프로그램이다.
보안 취약점 분석, 보안 컨설팅 등 여러 분야에서 사용되는데, 백도어에서 접근하는 공격자의 IP 주소와 침투한 후
실행한 명령어에 대해 패킷을 잡아 찾았다.
우선 우분투에서 관리자권한으로 wireshark로 접속하여 eth0의 네트워크의 패킷을 보면 아래와 같이 나타난다.
먼저 Protocol Hierarchy를 통해 프로토콜의 정보를 알아보았다.
통계를 통해 TCP(Transport Control Protocol) 쪽의 퍼센트가 높은 것으로 확인이 된다.
TCP(Transport Control Protocol) 쪽의 퍼센트가 높은 것으로 확인이 된다.
그 중, FTP( File Transfer Protocol)이 나타나있는 것을 확인할 수 있다. Line-based text data는 브라우저를 통해
어떤 공격자가 웹 쉘이나 명령어를 통해 가지고 브라우저에서 결과들이 뿌려 나오는 형식이며,
이와 같은 내용들이 나눠질 때, Line-based text data이라는 프로토콜이 쓰인다.
통신하는 과정에서 포트 정보를 기준으로 확인하기 위해 Conversations을 이용하였다.
카테고리에서 TCP를 선택한 후, Address 정보들을 보면 다양한 IP 주소들이 찍히는 것을 확인할 수 있다.
아래에 다음과 같이 vsftpd2.3.4의 백도어 포트인 6200번이 사용되어 있는 것을 찾을 수 있었고, 그 사이 통신에서 ftp 전용 통신 포트인 21번도 사용된 것을 확인할 수 있다.
공격자 pc의 IP Address인 172.31.16.7에서 피해자 pc인 IP Address인
172.31.16.5로 접속을 시도한 것을 확인할 수 있다.
16.7 공격자가 16.5 피해자로 접속 할때 넘어가는 패킷 스트림 정보 백도어가 열려서 다음과 같이 비밀번호가 pass된다.
FollowTcpStream을 통해 공격자가 시스템에 침투한 후, 어떠한 명령어를 통해 어떤 정보를 가져갔는지 확인이 가능하며, 추후 추가적인 공격에 대응이 가능하다.
'Network' 카테고리의 다른 글
| 1-2) Web & HTTP (0) | 2022.08.31 |
|---|---|
| 1-1) 웹브라우저 동작 방식 (0) | 2022.08.31 |
| Drive by download (CVE-2016-0189) 공격 정리 (0) | 2021.07.14 |
| [7] 스노트 기본 문법 (0) | 2021.05.07 |
| [6] 스노트 설치와 설정 (0) | 2021.05.07 |