CapTipper V.0.2 릴리즈 (새로운 기능 소개)

  예전에 블로그를 통해 소개했던 악성트래픽 분석 도구 CapTipper가 0.2 버전으로 업그레이드 되었다. 이전 소개 내용 링크  ☞☞☞☞   CapTipper 소개 및 사용 방법 0.1 버전에서 아쉬웠던 점들을 상당히 많이 보완한 것으로 보인다. 개선된 기능들은 간략하게 알아보도록 하자. * 프로그램 다운로드 링크 : https://github.com/omriher/CapTipper/archive/master.zip   1. HTML & JSON 결과 레포트 생성 기존에는 CLI 환경에서 일일이 트래픽을 분석해야 했었지만 이번 0.2 버전에서는 HTML 또는 JSON 방식의 레포트를 제공한다. 실제 15.3.24일 Malware Traffic Analysis 에 등록된 pcap 파일을 Captipper로 레포팅한 결과 다음과 같이 아주 깔끔하게 내용을 출력해주었다. Flow View 를 통해 접속 경로 및 흐름을 한 눈에 파악할 수 있을 뿐만 아니라 각각의 … Read More

Continue Reading

CapTipper를 이용한 악성 트래픽 분석

  이번에 소개할 도구는 파이썬 기반의 Malicious 네트워크 트래픽 분석도구인 CapTipper이다. 일반적으로 네트워크 트래픽을 분석할 때 가장 많이 사용되는 도구로 WireShark를 떠올리지만, 필터링 expressions 를 제대로 활용하지 못할 경우 사용에 어려움을 느낄 수도 있다. 반면, CapTipper 는 악성 트래픽을 분석하는데 도움을 줄 수 있는 기능들로 구성되어 있어, 빠르게 분석을 수행할 수 있는 장점이 있다. 해당 도구에 대한 소개 및 다운로드 경로는 다음과 같다. – 다운로드 경로 : https://github.com/omriher/CapTipper   1. 기능 및 특징 CapTipper의 가장 큰 특징 중 하나는 바로 가상 서버를 통한 시뮬레이션 기능이다. 분석하고자 하는 pcap 파일을 로드하면, 로컬 호스트 상의 가상 서버가 구동되면서 실제 트래픽이 오고 갔던 화면을 … Read More

Continue Reading

Volatility 2.4 Cheat Sheet (PDF)

강력한 메모리 포렌식 도구 볼라틸리티(Volatility) 2.4 버전의 치트 시트이다. 사실 분석할 때 사용되는 플러그인은 한정적인게 사실이지만, 막상 플러그인 사용할때 헷갈려서 또 찾아보게 되는게 현실. ↓↓ 다운로드는 아래 링크에서 ↓↓ [CheatSheet_v2.4]   Volatility is the most powerful for memory forensic. In real-world, not all plugins used for analyzing, but this PDF will help you to do it efficiently. You can download the file from link above. … Read More

Continue Reading

포렌식 관점에서 바라본 파밍공격(공다팩) 역추적

작년 회사에서 파밍 공격 피해를 입은 PC를 분석한 경험을 본 포스팅을 통해 공유하고자 한다. “파밍 공격” 이라고 구글링을 통해 검색해보면 2009년 자료도 나오는 것으로 보아 상당히 오랜기간동안 진화해온 공격방법이 아닐까 싶다. 사실 회사에서 하는 업무 자체가 모의해킹, 사고분석이다 보니 웹을 통한 임직원 개인 PC의 감염여부에 대해서는 크게 관심을 갖지 않았다. (물론 FireEye 장비 운용할 때는 메인 업무이긴 했지만) 그러던 어느날, 관제센터에서 탐지된 일부 C&C IP가 파밍 공격과 관련있다는 정보를 입수하였고 이에 대한 피해를 조사하는 과정에서 하드디스크를 조사하게 되었다. 모든 내용을 공개할 수는 없지만 파밍 공격에 대한 단서를 어떻게 찾아갔는지에 대한 하나의 예제로 활용되었으면 한다.   분석에 사용된 도구 Encase 7.0 … Read More

Continue Reading

Site Footer