CapTipper V.0.2 릴리즈 (새로운 기능 소개)

 

예전에 블로그를 통해 소개했던 악성트래픽 분석 도구 CapTipper가
0.2 버전으로 업그레이드 되었다.

이전 소개 내용 링크  ☞☞☞☞   CapTipper 소개 및 사용 방법

0.1 버전에서 아쉬웠던 점들을 상당히 많이 보완한 것으로 보인다.
개선된 기능들은 간략하게 알아보도록 하자.

* 프로그램 다운로드 링크 : https://github.com/omriher/CapTipper/archive/master.zip

 

1. HTML & JSON 결과 레포트 생성

기존에는 CLI 환경에서 일일이 트래픽을 분석해야 했었지만 이번 0.2 버전에서는
HTML 또는 JSON 방식의 레포트를 제공한다.

실제 15.3.24일 Malware Traffic Analysis 에 등록된 pcap 파일을 Captipper로 레포팅한 결과
다음과 같이 아주 깔끔하게 내용을 출력해주었다.

Cap 2015-03-30 13-18-52-335

Flow View 를 통해 접속 경로 및 흐름을 한 눈에 파악할 수 있을 뿐만 아니라
각각의 Request/Response에 대한 상세 내용도 파악할 수 있다. (파일 헤더 정보 등)

Captipper가 파이썬 기반으로 제작되었기 때문에
레포트 기능을 잘만 활용한다면, 자동화 된 분석 모듈로도 활용할 수 있을 것 같다.

* 사용법 : python captipper.py [파일명.pcap] –report [Output Directory]

 

2. 파일 타입 확인 가능

서버에서 수신한 파일의 헤더 매직넘버를 이용하여 파일 타입(File Type) 정보를 확인할 수 있다.
예를 들어 다음 그림과 같이 파일 확장자는 “.swf” 이지만
실제 매직 넘버 확인 결과 XAP (Silverlight Application Package)인 것으로 확인된다.

즉, 정상 파일로 위장한 악성 파일 여부를 체크할 수 있다.
다만 아쉬운 것은 의심 되는 (확장자와 매직 넘보 정보가 다른) 오브젝트를 별도로 표시 해 주었더라면
분석하는데 도움이 되지 않았을까 하는 점이다.

CapTipperFakeExt

 

3. PE info 와 find

peinfo [Object ID] 명령어를 통해 기본적인 PE파일의 구조를 파악할 수 있다.

또한 find 명령어를 통해 Object 에 포함된 키워드를 검색할 수도 있게 되었다.

 

4. JS Beautifier

자바스크립트를 이용한 악성코드는 JS Beautifier를 통해 보기 좋은 형태로 변환한 후 분석한다.
보통 온라인 상의 Beautifier를 이용하지만 이 기능이 내장되어 쉽게 확인이 가능하다.

jsbeautify obj [Object ID] 명령어를 입력하면 다음과 같이 Beautified 된 새로운 오브젝트가 생성된다.

 

이상으로 0.2버전으로 소폭(?) 업그레이드 된 CapTipper 를 살펴보았다.

사실 Wireshark를 잘 다루는 이들에게 있어 필수적인 도구는 아니라고 생각하지만
악성 트래픽 분석에 특화된 도구라는 점에서 활용 가치가 있다고 본다.
특히나 버전업이 되면서 기존에 부족했던 부분들을 많이 채워주는 듯 하다.

시간이 된다면 약간의 Tweak을 통해 코드를 수정해 보는 것도 좋겠다.

 

Site Footer

Sliding Sidebar

About Me

About Me

June Park