비전공자의 포렌식일기

이번 시간에 분석해볼 패킷은 SANS Puzzle.pacp 파일입니다. 문제는 시나리오 기반으로 되어 있으며, 생각보다 쉽게 풀려서 글을 빠르게 쓰도록 하겠습니다. 더보기 [ 시나리오 ] Ann’s과 친구는 메신저로 중요한 음식의 비밀 레시피를 주고 받았다. 우리가 획득한 패킷을 분석하여 해당 레시피가 무엇인지 획득하고 다음과 같은 물음에 답변하여라. [ 문제 ] 1. Ann's의 친구의 메신저 이름은 무엇인가? 2. 캡쳐된 메신저 대화 중 첫번째 대화는 무엇인가? 3. Ann's가 보낸 파일의 이름은 무엇인가? 4. 당신이 추출하고자 하는 파일의 시그니처는 무엇인가? 5. 파일의 MD5 해쉬 값은 무엇인가? 6. 파일 안에는 어떤 내용이 들어있는가? 바로 문제를 풀어보도록 하겠습니다. 먼저, 와이어샤크..

이번 시간에는 무선랜으로 패킷이 잡혀있는 패킷 파일을 분석을 진행 해보도록 하겠습니다. 패킷 파일을 실행시켜 보면 암호화 된 패킷들이 보이는데 지금처럼 무선랜 환경에서의 패킷은 암호화가 된 상태로 잡히게 됩니다. 패킷들을 살펴보면 wep 프로토콜로 암호화가 된 것을 볼 수 있는데, 암호화가 된 패킷들은 크랙을 통하여 복호화를 시켜줘야 합니다. 복호화를 하기 위해서는 Aircrack-ng 프로그램이 필요한데, 복호화를 하는 순서를 보겠습니다. 일단, wep를 복호화 하기 위해서는 키가 필요합니다. WEP 암호화 키는 64bit일 경우 01:02:03:04:05 와 같이 입력을 해야 하고, 128bit일 경우에는 0102030405060607080 이런식으로 키 값이 나오는 것을 볼 수 있습니다. 먼저, F..

몇일 전, 아는 지인분에게 패킷 공부를 좀 하고싶다. 파일을 좀 달라해서 얻은 패킷 파일인 HackThePacket입니다. 난이도는 막 그렇게 어렵지 않으며, 저처럼 처음 네트워크 패킷 포렌식을 공부하는 입장에서는 간단하게 풀 수 있는 문제입니다! 문제를 한번 보겠습니다. 더보기 Telnet의 패스워드를 찾으시오. 80번 포트로 업로드 된 파일명을 찾으시오. 네이버에서 검색한 검색어를 찾으시오.(한글) 인터넷 쇼핑 중 실행된 웹쉘을 찾으시오? 찾아야 하는 문제는 총 4개로 바로 풀이를 해보도록 하겠다. Telnet의 패스워드를 찾는 문제이다. 텔넷은 인터넷이나 로컬 영역 네트워크 연결에 쓰이는 네트워크 프로토콜이다. 쉽게 말해서 네트워크 관리를 할 수 있는 프로토콜입니다. 텔넷은 패킷이 잡힐 때, Pro..

웹 서버 로그분석은 침해 사고에 있어 가장 빈번하게 일어난다. 그렇게 때문에 분석을 진행 해보았다. 웹 서버 웹 서버는 소프트웨어로 보면 웹 브라우저와 같은 클라이언트로부터 HTTP 요청을 받아 들이고, HTML 문서와 같은 웹 페이지를 반환하는 컴퓨터 프로그램이고, 하드웨어로 본다면 위에서 언급한 기능을 제공하는 컴퓨터 프로그램을 실행하는 컴퓨터이다. 웹 서버를 분석하는 이유 분석하는 이유는 다양하지만 웹 서비스를 운영하고 있는 서버 관리자라면 외부에서 어떤 요청이 들어오고 있는지, 그리고 어떤 사용자가 있는지에 대한 정보를 담고 있는 Access 로그에 관심을 가지는 것이 당연하다. 왜냐하면 사람도 마찬가지지만 본인의 물건에 누가 손을 대는 것 조차 싫어하시는 분들이 많은데 서버도 마찬가지이다. 외부..

보호되어 있는 글입니다.

*본 내용은 공부를 목적으로 만들어진 내용입니다. 악용 시 법적인 책임을 물 수 있습니다. 앞 시간에 Petya 랜섬웨어를 복구 하는 방법을 배웠었습니다. 이번 시간에는 Petya 랜섬웨어의 변형된 형태인 GoldenEye 랜섬웨어를 복구하는 방법을 배워보겠습니다. http://m.boannews.com/html/detail.html?idx=52668 보안뉴스를 보게 되면 GolednEye 랜섬웨어에 대한 내용들이 자세히 설명되어 있으니 참고 해주시길 바랍니다. 사실 Petya 랜섬웨어랑 별반 다를거 없은 GoldenEye 랜섬웨어는 XOR 연산으로 0x07 변형이 되었고, 감염시키는 오프셋이 0x7202가 아니라 0x4602 입니다. 그래서 앞서 배웠던 Petya 랜섬웨어 복구하는 것이랑 똑같이 하시면..

*본 내용은 공부를 목적으로 작성하는 글임을 알려드립니다. 이번에 다뤄볼 내용은 2017년 한국 정보통신 학회에서 투고된 "랜섬웨어 Petya에 대한 분석과 대응방안" 이라는 논문이다. 원문은 다음 링크를 타고 들어가시면 확인할 수 있다. https://scienceon.kisti.re.kr/srch/selectPORSrchArticle.do?cn=NPAP12899226 ABSTRACT 랜섬웨어는 주로 정부 기관과 금융기관, 기업 등을 대상으로 파일 또는 디스크 부팅 영역(BR)을 암호화하여 금전적인 피해뿐 아니라 개인정보 탈취 등의 보안 이슈를 초래해 왔다. 본 논문에서는 NTFS 파일 시스템 및 랜섬웨어 Petya에 대해 설명하고 포렌식 기법을 적용하여 MBR 영역 복구에 대한 방법을 다뤄본다. 1...

*지금부터 작성을 하는 공부들은 악용을 할 시 법적인 책임을 질 수 있으니 공부 용도로만 쓰길 바랍니다. 이번에 배울 것은 MBR영역과 VBR(Volume Boot Record), 파티션 시작 위치(BR)을 모두 특정 데이터로 덮어씌워 부팅이 불가능하도록 한 악성코드에 감염되었을 때 복구 하는 방법입니다. 복구를 진행하는 단계를 살펴보겠습니다. 1. MBR, VBR의 위치 확인 2. MBR, VBR 복구 3. 복구된 MBR과 VBR을 원래의 위치로 복사 실습파일인 vmdk를 가상머신으로 실행을 시키면 부팅이 정상적이지 않는 것을 볼 수 있습니다. 복구를 위해 vmdk를 hxd 에디터로 열어 보겠습니다. 근데 우리가 디스크를 보통 열어보면 MBR영역이 나와야 하는데 여기서는 vmdk의 예약영역이 자리 잡게..

저번 시간에 이어 NTFS도 바로 복구를 해보겠습니다. 마찬가지로, 악용을 하시면 법적인 책임을 물 수도 있으니 공부할 때만 사용하십시오. 배우기에 앞서 선행되어야 하는 내용은 다음과 같습니다. NTFS 구조 : https://lemonpoo22.tistory.com/202 MBR 구조 : https://lemonpoo22.tistory.com/23 실습할 내용은 다음과 같습니다. BR영역이 손상된 파티션 복구 알아야 할 내용 : 파티션 정보, LBA 시작주소, 파티션 총 섹터 수 먼저, 실습파일을 FTK로 열어보겠습니다. 파티션 1개가 보이고, Unrecognized로 보이는 것으로 보아 손상된 파티션임을 알 수 있었습니다. 그래서 FTK를 닫고, Hxd 에디터로 디스크 정보를 한번 보겠습니다. 영역 ..

*지금부터 작성을 하는 공부들은 악용을 할 시 법적인 책임을 질 수 있으니 공부 용도로만 쓰길 바랍니다. 배우기에 앞서, 사전 지식이 필요하여 2개를 보고 오시는 것을 추천드립니다. MBR 구조 : https://lemonpoo22.tistory.com/23 FAT32 구조 : https://lemonpoo22.tistory.com/84 우리가 Windows 시스템에서 가장 많이 사용하는 파일 시스템 포맷인 FAT32, NTFS 포맷의 파티션이 손상되었을 경우 복구하는지 배워볼 것 입니다. 우선 실습 파일은 따로 올리지 않겠지만, 복구하는 방법이 동일하기 때문에 혹시 직접 실습을 해보고 싶다면, 가상 디스크를 하나 만들어서 똑같이 영역을 손상시켜 공부해보는 것을 추천드립니다. 실습 시나리오는 다음과 같다..