Aurora 퓌싱 도구 분석
침투자는 타겟 머신에서 실행 중인 여러 API의 취약점을 이용해서 침투하는데 이 Aurora라는 도구는 IE의 취약점을 이용한 도구로써 원격에서 IE를 통해서 관리자 레벨의 권한을 얻게 한다. 타겟자에게 E-mail을 보내서 IE로 악성코드가 있는 링크를 클릭하게 하면 침투자가 즉시 관리자 권한을 얻게 한다. SET(Social Engineering Toolkit) 도구의 Spear Phishing 도구를 사용하는 기법의 일종이다.
정상적으로 연결된 서버에 GET를 요청할 때
GET / http/1.1식으로 이뤄져야 하는데
GET /sdfasdfjdaslgfsdklfgs http/1.1식으로 보이면 대부분 퓌싱 사이트로 리다이렉트(유도)하는 XSS/CSRF 공격의 전형이 된다.
MitM(Man in the Middle) 공격
ARP Poisoning으로 게이트웨이나 타겟 호스트의 MAC 주소를 침투자의 MAC 주소와 동일하게 만들어서
타겟 머신에서 오가는 모든 패킷들을 침투자도 보는 공격이다.
BackDoor 공격
보통 백도어 공격은 Trojan Horse를 사용하는데 현장에서는 네트워크로 오가는 모든 패킷을 검사할 수 없기 때문에 관리자는 미리 정해진 규칙(signature)에 위배되는 이상한 점이 있는 패킷만 검사한다. 네트워크 트래픽에서 이상한 점이 발견되면 이를 통보하는 IDS(Intrusion Detection System) 방식을 사용한다. 그리고 이 악성코드가 시스템에서 어떻게 작동해서 어느 악영향을 끼치는지에 대한 분석은 격리된 환경에서 행위(behavior)기반으로 분석할 수 있다.
IDS의 대표적인 Snort 도구에서의 설정도 알아두면 문제가 생겼을 때 파악할 수 있다.
alert tcp any any -> $HOME_NET any (msg:“CyberEYE RAT Session Established”; content:“|41 4E 41 42 49 4C 47 49 7C|”; classtype:trojan-activity; sid:000001; rev:2;)식으로 생성해 두면, tcp로 어느 출발지에서 내부 네트워크의 어느 호스트로 향하던 간에 16진수 내용 41 4D ~ 7C를 가지고 있을 때 CyberEYE RAT Session Established라고 경고하고 이 콘텐츠를 읽을 수 있는 ASCII인 ANA BILGI(공격도구)로 변환된다. 원격 접근 트로이 목마인 CyberEYE라고 알리는 것이다.
이 CyberEYE가 사용하는 RAT(Remote Administration Tool)는 타겟머신에서 조용히 실행되는 악성 도구로써 CyberEYE는 RAT 실행 파일을 생성하고 감염된 호스트를 제어하는데 사용되는 도구이다. 이제 침투자는 원격에서 타겟머신을 관리할 수 있다.
hping3와 scapy는 임의적으로 패킷을 생성해서 타겟에게 보낼 수 있는 해커 도구이다.
다음 공격을 수행해 보는데 hping3이라는 도구를 사용한다. hping3와 scapy는 임의적으로 패킷을 생성해서 타겟에게 보낼 수 있는 해커 도구이다. 'hping3 옵션 타겟_IP' 구문인데 hping3 --help 해보면 많은 옵션이 보이는데 보통 다음 몇 가지를 사용한다.
-c : 카운트 수로 다 보내면 종료된다.
-i : 초당 패킷 수인데 100이면 초당 100개를 보낸다.
-a : 출발지 IP 변경
--rand-source : 출발지 IP를 랜덤하게 변경
-p : 목적지 포트 설정
-F : FIN 패킷 전송,
-P : PUSH 패킷 전송
-R : RST 패킷 전송,
-X : X-mas 패킷 전송
-S : SYN 패킷 전송,
-A : ACK 패킷 전송
-d : 데이터 크기 설정
-V : 자세히 보기 등이다.
i) 공격은 BT에서 wireshark 해서 켜 놓고,
ii) 타겟을 Metasploitables2나 CentOS로 해서 다음 공격을 수행하고,
iii) 적절한 시점에서 Ctrl+c로 공격을 끝내고, BT에서 수집된 패킷을 분석한다.
iv) 침투당하는 타겟머신에서 작업 관리자로 들어가면 CPU, RAM 등의 사용량 변화를 볼 수 있다.
LAND : packets src and dst address are the same sent by hping3
SMURF : numerous packets only ICMP echo request sent by hping3
Syn Flooding(DoS) : numerous packets only for SYN request sent by hping3
DDoS Attack : numerous packets only forwarding a specific port sent by hping3
Ping of Death : numerous packets only ping request sent by hping3
Switch jamming : MAC Flooding by Macof
Tear Drop : numerous packets torn down sent by hping3
