[네트워크 패킷 분석] 침해사고 샘플 분석 사례 문제 및 풀이 2

 

와이어샤크에서 Statistics > Protocol Hierarchy를 클릭해 프로토콜 통계를 확인했다.

TCP와 TCP 중 HTTP를 많이 사용한 것을 확인할 수 있다.Media Type의 크기가 상당히 크므로 이걸 중점적으로 봐야 한다.공격자들이 웹쉘 등을 써서 정보들을 가져올 때 Line-based text data로 분류가 된다.

 

 

웹쉘이 있기 때문에 Statistics > HTTP > Packet Counter를 봤다.Bruce force 공격 등을 사용하면 5xx나 4xx 쪽으로 많이 찍히는데 없으므로정상적인 페이지로 접근하여 시스템을 공격했음을 알 수 있다. 

 

 

Statistics > HTTP > Requests 정보에서 접근한 도메인 정보를 확인할 수 있다.

 

 

두 개의 포트가 열려 있다.

 

 

192.168.206.133 포트는 페이지에 접근만 하고 다른 기능은 따로 수행하지 않은 걸로 판단된다.

 

 

192.168.296. 133:8180 포트에서 업로드 페이지에 접근하고 shell.jsp가 보이는 것으로 보아

공격했던 웹서비스의 포트 번호는 8180이다. 

 

 

해당 IP 주소와 TCP 포트 번호로 필터링했다.

그러나 ip.add을 사용하여 필터링하면 src와 dst를 모두 포함시킨다. 

 

 

따라서 좀 더 명확하게 확인하기 위해서는 dst 포트만 확인해야 한다.  

192.168.206.152로 많이 접속하는 것으로 보아 이 IP가 공격자의 IP로 추측된다.

 

 

쭉 내리면 192.168.206.152로 upload 페이지에 접근한 걸 확인할 수 있다. 

따라서 공격자 IP는 192.168.206.152이고, 공격 당한 웹서버 IP는 192.168.206.133이다.

 

 

upload 패킷 우클릭 > Follow > TCP Stream > Save as 버튼 클릭 > html 확장자로 저장 > 웹브라우저에서 확인

 

Tomcat Web Application Manger 페이지는 침해사고대응 실무에서도 많이 볼 수 있는 페이지이다. 

 

 

Tomcat 설취 뒤에 8180 포트를 전혀 접근 제어하지 않았을 때

관리자 페이지에서 첨부 파일을 이용해서 파일을 올린 뒤에 공격을 시도할 수 있다. 

 

 

좀 더 내려보면 아까 Statistics > HTTP > Requests를 통해 본 /attck 디렉토리가 생성된 것을 볼 수 있다.

 

 

shell.jsp가 동작되었고, 이 페이지 자체가 웹쉘이 동작되는 것을 확인할 수 있다. 

 

 

웹쉘로 프로세스 정보를 확인했다.

 

 

이제 웹쉘을 찾기 위해서 웹쉘을 와이어샤크에서 복원해야 한다.

upload.html의 TCP Stream을 다시 살펴보면 POST로

attacker.war 파일을 올렸음을 확인할 수 있다.

 

 

upload.html 패킷의 정보에서 Media를 보면 Data가 있다. 

Data 우클릭 > Export Packet Byte를 선택해 저장한다. (파일명 상관 X)

 

 

저장된 압축 파일을 미리 보면 shell.jsp가 포함된 것을 확인할 수 있다.

 

---

출처

인프런 | IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전

https://www.inflearn.com/course/wireshark_boanproject#reviews

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의