CapTipper V.0.2 릴리즈 (새로운 기능 소개)

  예전에 블로그를 통해 소개했던 악성트래픽 분석 도구 CapTipper가 0.2 버전으로 업그레이드 되었다. 이전 소개 내용 링크  ☞☞☞☞   CapTipper 소개 및 사용 방법 0.1 버전에서 아쉬웠던 점들을 상당히 많이 보완한 것으로 보인다. 개선된 기능들은 간략하게 알아보도록 하자. * 프로그램 다운로드 링크 : https://github.com/omriher/CapTipper/archive/master.zip   1. HTML & JSON 결과 레포트 생성 기존에는 CLI 환경에서 일일이 트래픽을 분석해야 했었지만 이번 0.2 버전에서는 HTML 또는 JSON 방식의 레포트를 제공한다. 실제 15.3.24일 Malware Traffic Analysis 에 등록된 pcap 파일을 Captipper로 레포팅한 결과 다음과 같이 아주 깔끔하게 내용을 출력해주었다. Flow View 를 통해 접속 경로 및 흐름을 한 눈에 파악할 수 있을 뿐만 아니라 각각의 Request/Response에 대한 상세 내용도 파악할 수 있다. (파일 헤더 정보 등) Captipper가 파이썬 기반으로 제작되었기 때문에 레포트 기능을 잘만 활용한다면, 자동화 된 분석 모듈로도 활용할 수 있을 것 같다. * 사용법 : python captipper.py [파일명.pcap] –report [Output Directory]   2. 파일 타입 확인 가능 서버에서 수신한 파일의 헤더 매직넘버를 이용하여 파일 타입(File Type) 정보를 확인할 수 있다. 예를 들어 다음 그림과 같이 파일 확장자는 “.swf” 이지만 실제 매직 넘버 확인 결과 XAP (Silverlight Application Package)인 것으로 확인된다. 즉, 정상 파일로 위장한 악성 파일 여부를 체크할 수 있다. 다만 아쉬운 것은 의심 되는 (확장자와 매직 넘보 정보가 다른) 오브젝트를 별도로 표시

Continue Reading

CapTipper를 이용한 악성 트래픽 분석

  이번에 소개할 도구는 파이썬 기반의 Malicious 네트워크 트래픽 분석도구인 CapTipper이다. 일반적으로 네트워크 트래픽을 분석할 때 가장 많이 사용되는 도구로 WireShark를 떠올리지만, 필터링 expressions 를 제대로 활용하지 못할 경우 사용에 어려움을 느낄 수도 있다. 반면, CapTipper 는 악성 트래픽을 분석하는데 도움을 줄 수 있는 기능들로 구성되어 있어, 빠르게 분석을 수행할 수 있는 장점이 있다. 해당 도구에 대한 소개 및 다운로드 경로는 다음과 같다. – 다운로드 경로 : https://github.com/omriher/CapTipper   1. 기능 및 특징 CapTipper의 가장 큰 특징 중 하나는 바로 가상 서버를 통한 시뮬레이션 기능이다. 분석하고자 하는 pcap 파일을 로드하면, 로컬 호스트 상의 가상 서버가 구동되면서 실제 트래픽이 오고 갔던 화면을 그대로 재연할 수 있는 기능이다. 또한, 자바스크립트 내 포함된 iframe 코드를 자동으로 찾아주거나 바이러스 토탈 API를 통해 자동으로 분석 결과를 업로드/조회 할 수 있는 것도 CapTripper의 장점이라 할 수 있겠다.   2. 설치 및 기본 명령어 CapTripper는 파이썬이 설치된 환경이라면 문제없이 사용할 수 있다. 단, 파이썬 2.7x 버전에서만 테스트 하였으며, 3.x 버전의 경우 제대로 동작하지 않을 수 있다. git clone 을 통해 CapTripper를 로컬에 복사한 후 다음 명령으로 분석을 시작할 수 있다. [crayon-5a1443ffdabc7241287274/] 정상적으로 실행되면  “CT >”  형태의 프롬프트로 전환되면서 명령을 기다리게 된다. 지원되는 명령어 리스트를 보고 싶거나, 간단한 사용법을 알고 싶다면 “help”를 입력한다. [crayon-5a1443ffdabd7199391397/] 주로 사용되는 몇가지 명령어를 살펴본

Continue Reading

Volatility 2.4 Cheat Sheet (PDF)

강력한 메모리 포렌식 도구 볼라틸리티(Volatility) 2.4 버전의 치트 시트이다. 사실 분석할 때 사용되는 플러그인은 한정적인게 사실이지만, 막상 플러그인 사용할때 헷갈려서 또 찾아보게 되는게 현실. ↓↓ 다운로드는 아래 링크에서 ↓↓ [CheatSheet_v2.4]   Volatility is the most powerful for memory forensic. In real-world, not all plugins used for analyzing, but this PDF will help you to do it efficiently. You can download the file from link above.

Continue Reading

포렌식 관점에서 바라본 파밍공격(공다팩) 역추적

작년 회사에서 파밍 공격 피해를 입은 PC를 분석한 경험을 본 포스팅을 통해 공유하고자 한다. “파밍 공격” 이라고 구글링을 통해 검색해보면 2009년 자료도 나오는 것으로 보아 상당히 오랜기간동안 진화해온 공격방법이 아닐까 싶다. 사실 회사에서 하는 업무 자체가 모의해킹, 사고분석이다 보니 웹을 통한 임직원 개인 PC의 감염여부에 대해서는 크게 관심을 갖지 않았다. (물론 FireEye 장비 운용할 때는 메인 업무이긴 했지만) 그러던 어느날, 관제센터에서 탐지된 일부 C&C IP가 파밍 공격과 관련있다는 정보를 입수하였고 이에 대한 피해를 조사하는 과정에서 하드디스크를 조사하게 되었다. 모든 내용을 공개할 수는 없지만 파밍 공격에 대한 단서를 어떻게 찾아갔는지에 대한 하나의 예제로 활용되었으면 한다.   분석에 사용된 도구 Encase 7.0 : 본 사건 분석에서 가장 핵심적인 역할을 해주었다. Index.dat Analyzer : IE History를 추적하는데 사용하였다. 분석환경 : Dell Workstation Xeon 2.0 64GB RAM 1TB SSD / Windows 7 Enterprise   파밍 공격의 개요 사용자가 특정 웹사이트 접속 혹은 다양한 경로를 통해 악성코드에 감염되면 Hosts 파일 변조를 통해 공격자가 미리 만들어 둔 가짜 사이트 (위 그림 참조)로 이동하게 되어 2차 피해를 낳을 수 있는 공격방법이다. 감염 후 변조된 호스트 파일에는 포털 사이트 뿐만 아니라 국내 대부분의 뱅킹 사이트를 포함하고 있어 보안에 대한 인식이 부족한 사람의 경우 보안 카드 번호등을 탈취당할 수 있다. 역시… 모든 해킹의 목적은 “돈”이 아닐까 싶다.   파밍

Continue Reading

Site Footer

Sliding Sidebar

About Me

About Me

June Park