[네트워크 패킷 분석] 메타스플로잇 프로를 이용한 공격 네트워크 패킷 분석 사례

 

프로토콜 요약 정보들을 보면 메타스플로잇 2가 굉장히 많은 취약점을 가지고 있기 때문에 

열려 있는 프로토콜이 굉장히 많이 존재한다.

 

Remote Procedure Call 프로토콜이 열려 있으면,

공격자가 접근 권한이 있는 경우에 서비스의 정보들을 주기 때문에

공격자는 프로세스 안에 있는 정보들을 확인할 수 있다.

 

메타스플로잇 프로 버전에서 SMB 취약점이 있다고 생각하면

무조건 Microsoft Windows Browser Protocol에 접근하는 코드를 넣는다.

 

 

TCP 프로토콜을 보면 Telnet, SSH 프로토콜 등이 있다.

 

 

HTTP 관련 프로토콜들은 많지는 않다.

따라서 메타스플로잇 프로 버전에서 pentest(패킷 수집 시에 진행한 것)에는

웹 스캔이 포함되지 않는다는 것을 알 수 있다. 

 

pentest는 웹해킹을 대상으로 하는 것이 아니라 기본적으로 열려 있는 포트에 대해서만 진행한다.

 

 

Conversation 정보들을 포트 기준으로 살펴 보면 1번부터 주요 서비스들을 대상으로 포트가 연결되어 있다.

이는 nmap 포트 스캔이 앞서 이루어졌다고 볼 수 있다.

 

 

주요 정보들이 나갔나 Tools > Credentials를 확인해 보면

아무것도 뜨지 않는다.

와이어샤크에서 이걸 통해서는 확인할 수 없으므로 다른 걸 통해서 봐야 한다.

각각의 프로토콜을 통해서 필터링을 해 주면 된다.

 

 

프로토콜 우클릭 > Apply as Filter > Selected를 클릭하면 프로토콜에 대한 정보들을 확인할 수 있다.

현재 telnet에 완전히 접속된 정보들은 없어 보인다.

 

 

TCP 스트림 정보를 확인해봐도 로그인이 성공된 것은 아니다.

 

 

SSH 프로토콜도 Brute Force 공격 등이 없는 것을 볼 수 있다.

메타스플로잇 프로 버전에서는 그런 공격들을 하지 않고 버전 정보까지만 확인한다.

 

 

ftp 정보를 보면 접근을 하려고 했지만 실패하여 버전 정보만 뜬 것을 확인할 수 있다. OOPS ~

 

Nessus도 취약점 자동 진단 도구로 메타스플로잇 프로 버전보다 한 단계 더 진행한다.

예를 들어, ftp가 익명 연결이 된다고 하면 그 안에 있는 정보들까지 확인을 한다. 

그러나 메타스플로잇 프로 버전은 그런 역할을 하지 않는다.

 

그래서 메타스플로잇 프로 버전 혼자 단독으로 사용하기 보다는

Nexpose와 함께 사용함으로써 취약점 진단을 한다.

 

Nexpose에서 불필요한 서비스들의 취약점 분석을 진행하고,

이를 기반으로 메타스플로잇 프로 버전에서 공격 코드를 삽입함으로써 실제 세션들의 연결 여부를 확인한다.

 

 

자바 관련 프로토콜을 살펴 보면 상당히 많은 패킷들을 주고 받은 것을 확인할 수 있다.

여기서 취약점이 나왔기 때문이다.

 

 

실질적으로 공격 코드, 테스트 등까지 볼 수 있다.

 

 

메타스플로잇 호스트 정보에서 확인해 보면 

자바와 관련된 취약점이 있고, PostgreSQL과 관련된 취약점이 있다는 정보들을 볼 수 있다.

 

 

네트워크 마이너에서 패킷 정보들을 분류해서 확인이 가능하다.

와이어샤크에서 크리덴셜 정보들을 확인했을 때는 아무것도 없었지만,

네트워크 마이너에서는 public으로 되어 있는 정보들에 접근해 확인이 가능하다.

 

 

현재 연결되어 있는 세션 정보들도 볼 수 있다.

 

---

출처

인프런 | IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전

https://www.inflearn.com/course/wireshark_boanproject#reviews

[무료] IT보안을 위한 와이어샤크 네트워크 패킷 분석 실전 - 인프런 | 강의