와이어 샤크 패킷 분석(feat.네트워크마이너)

패킷 분석은 여러 부분에서 많이 사용한다.

1. 모의해킹은 취약점 분석할 때

2. 악성코드 분석할 때(실시간적으로 발생하는 패킷들을 분석할 때 사용)

3. 침해사고 분석, 포렌식 분석할 때

이렇게 분석을 해야 할 때 와이어 샤크를 대표적으로 많이 이용하게 된다.

 

패킷을 분석하는 법을 알아보자.

 

우선 프로토콜 정보를 알아보자.

이렇게 프로토콜들의 통계를 확인할 수 있다.

현재 TCP가 많이 사용되고 있는 것을 알 수 있다.

 

좀 더 상세한 통계을 보도록 하자.

(http 통계)

웹에 들어가지 않았기 때문에 아무것도 카운터가 되지 않았다. (사용법만을 기록)

여기서 5xx대 에러가 많이 발생하면 sql인젝션 등의 형태가 많이 나왔다고 보면 된다.

4xx대 에러가 많이 발생하면 디렉터리 검사 같은 거나 어떤 백업한 파일들을 검사하는 도구들을 돌릴 때 4xx대 에러가 발생한다고 보면 된다. (있지도 않은 파일을 찾는 것(공격자의 수색이라 볼 수 있음))

2xx 대는 정상적으로 웹페이지들이 들어오는 것이다.

그리고 HTTP Request Packets에 GET이 많다면 그만큼 GET 요청을 많이 들어왔다는 것을 확인할 수 있을 것이다.

이러한 것들을 보고 어떤 공격지 짐작을 하고 접근을 하는 것이다.

 

지금은 비어있지만 어떠한 요청들을 했는지 요약을 해준다.

 

이것은 순서이다. 이것을 이용해서 순서대로 나열할 수 있다.

이 Requests를 이용해서 사용자가 어떤 페이지에 접속했는지 확인할 수 있다.

 

그다음 페이지들을 하나씩 하나씩 확인하기 위해

(오브젝트 별 로페이지 별로 확인을 정렬하는 것)

요청한 페이지나 형태 타입별로 정렬이 된다. 여기서 의심되는 것들을 하나씩 저장 or 모두 저장하게 되는 것이다.

파일을 저장해서 .php확장자를 바꾸면서 어떠한 행위들을 했는지 확인을 하면 된다.

하지만 마지막에 페이지를 확인한다고 할 때 확장자를 알맞게 바꿔가면서 확인하는 것이 조금 복잡하다.

이것들을 쉽게 해결할 수 있는 것이 "네트워크 마이너"이다.

네트워크 마이너는 악성코드 분석에 많이 쓰이고 그 안에 패키지 정보들이 숨어져 있거나 중요한 자바스크립트 같은 경우나 이런 것들이 삽입된 것들을 분석을 할 때 자주 쓰인다.

혹은 네트워크 포렌식 할 때에서 네트워크 마이너를 자주 쓴다. 

 

다운로드를 받아준다.

 

네트워크 마이너 실행

그리고 pcap파일을 마우스 드레그를 이용해서 불러오면 된다.

 

실제 사용자들이 관여했던 것들은 검은색 글자로 되어있고 크롤링을 페이지 안에서 링크나 그런 것들이 있을 때는 회색 글씨로 나타난다.

오른쪽 클릭을 해서 오픈폴더를 하면 그에 맞는 확장명에 맞춰서 다 저장이 되어서 간편하다고 할 수 있다.

(만약 악성코드가 포함된 코드들을 분석하려고 한다면 가상 환경에서 분석해야 된다.)