Time for Security

 이번 시간은 네트워크 패킷 분석의 마지막 시간이었습니다. 

 오늘은 3가지의 패킷을 분석해봤는데요.

 어제와 마찬가지로 랜섬웨어에 대한 분석이었습니다.

 어제부터 분석한 랜섬웨어는 전부 이메일의 첨부파일을 통해 감염되는 형태였습니다.

 대놓고 zip파일 안에 vbs파일이 존재하는 랜섬웨어도 있었지만 영수증 pdf파일 안에 vbs가 숨겨져있는 랜섬웨어도 있었습니다.

 그리고 Wireshark외에 Network Miner라는 프로그램도 사용해봤는데요.

 이번에 공부하면서 분석한 패킷들은 딱 정해진 IP만 공격자로 의심되는 상황이었지만 실제의 경우에는 수 많은 IP중 어떤 IP가 공격자인지 알 수 없기 때문에 패킷 분석이 더 어려워지게 됩니다.

 그럴 경우 이 Network Miner라는 프로그램을 사용하면 Wireshark보다 더 쉽고 빠르게 의심되는 패킷을 찾을 수 있습니다. 

 구글에서 network forensic network miner라고 검색하시면 http://www.netresec.com라는 사이트를 찾아보실 수 있는데요.

 유료버전은 900달러나 하지만 무료버전도 있기 때문에 무료버전을 이용해보시면 좋을 것 같습니다.

 이처럼 이 날까지 대략 7일간 네트워크 패킷을 분석해보았는데요.

 이제는 조금 어떻게 분석 방향을 잡아야할지 감이 조금 잡히는 것 같습니다.

 이번주는 독특하게 강의 단위가 나뉘는데요. 

 이번주 수요일부터 다음주 수요일까지는 네트워크 해킹 공격에 대해 나갈 예정입니다.

 안녕하세요!

 이번 포스팅에서는 wireshark라는 프로그램을 좀 더 편리하게 사용하기 위한 간단한 설정 방법을 소개해드리도록 하겠습니다.

 지금까지 있는 그대로의 wireshark를 사용하셨다면 이번 포스팅으로 좀 더 편하게 사용하실 수 있게 되실거에요.

 그럼 바로 시작해보도록 할까요? 

 우선 첫번째로 할 일은 위의 사진처럼 'View' 탭에서 'Time Display Format' 부분의 'Date and Time of Day'와 'Seconds'에 체크해주시는 거에요.

 이렇게 체크를 해주시면 wireshark에서 패킷을 보실때 시간이 확실하게 초 단위까지 표시된답니다.

 특정 패킷이 언제 들어왔나 확인할 때 굉장히 유용한 기능입니다. 

 다음은 'Edit' 탭에서 'Preferences'를 선택해주세요.

 그러고 난 뒤, 위의 화면처럼 'Columns'를 선택해주세요.

 눈치채신 분들도 계시겠지만 이 부분은 wireshark에서 패킷 분석을 할 때 보이는 항목들의 종류입니다.

 새로운 컬럼을 생성하려면 하단의 + 표시를 눌러주시면 됩니다.

 새롭게 생성해주시고, 'Number'라고 되어 있는 부분을 더블클릭 해주시게 되면 어떤 항목을 표시할 것인지 선택하는 창이 나옵니다.

 캡처를 하려 했으나 이상하게도 창이 계속 꺼져 캡쳐하지는 못했지만 아마 다들 잘 하실 수 있을거에요. 

 여기서 출발지 포트를 보다 쉽게 보기 위해 Src port (unresolved)를 선택해줍니다.

 참고로 resolved 옵션과 unresolved 옵션이 있는데, resolved는 포트 번호를 풀어서 써주는 기능이에요.

 예를 들어 80번이면 http로 나오게 됩니다.

 하지만 패킷에 따라 번호를 다른 것으로 바꿀수도 있고, 알아보기에 더 불편할 수도 있으므로 unresolved 옵션을 사용해줍니다.

 위와 같은 방식으로 도착지 포트도 추가해줍니다.

 보시면 저는 출발지 포트는 title을 sport로, 도착지 포트는 dport로 설정해주었습니다.

 title은 패킷 분석시에 컬럼의 이름으로 보여지는 부분입니다.

 자신이 알아볼 수 있도록 설정해주시면 됩니다.

 여기까지 해주신 다음 자리를 이동시켜줘야 알아보기 편해요.

 위에서 부터 차례대로 놓여지기 때문에 지금의 상황이라면 출발지와 도착지 포트만 맨 끝에 나오게 되어 더 불편할 수 있어요.

 위의 화면처럼 출발지 포트는 출발지 주소 다음에, 도착지 포트는 도착지 주소 다음에 위치해주시는 게 가장 최고의 선택입니다. 

 한 가지 설정을 더 해줄건데요.

 GET 메소드를 사용해주는 패킷으로 이동해 'Host'부분을 우클릭해줍니다.

 여러 보기가 보이실텐데요.

 그 중에서 'Apply as Column'을 눌러주면 컬럼에 host가 추가돼요.

 'Edit' 탭의 'Preferences'를 눌러 컬럼을 확인해보시면 host가 추가됨을 보실 수 있습니다.

 이처럼 설정해주시면 위의 화면처럼 더 알아보기 쉽고 깔끔해진 wireshark를 만나보실 수 있을거에요.

 여기까지 wireshark의 간단한 설정이었습니다.

 wireshark를 이용하다보면 정말 많은 패킷을 보게 되는데요.

 오늘과 같은 설정으로 더 빠르고, 편하게 패킷 분석을 하실 수 있을거에요. 

 오늘 교육을 끝으로 순수 교육 시간이 60일 남게 되었습니다.

 벌써 1/3의 교육 시간이 끝나고, 순수 2달 정도의 시간이 남게 되었습니다.

 아직 많이 배우지 못한 것 같은 데 1/3이 끝났다니 믿어지지 않네요... 

 남은 교육 시간은 더 분발하도록 해야겠습니다.

 오늘은 저번 주에 이어 네트워크 패킷을 분석하였습니다.

 이번 패킷 분석은 조금 특별했는데요.

 그 이유는 요즘 핫한 랜섬웨어에 대한 분석이었기 때문입니다. 

 저희가 분석을 한 상황은 이메일을 통해 zip파일을 받게 되고 그 안의 vbs파일을 이용해 랜섬웨어를 다운받아 실행시키는 방식이었습니다.

 네트워크 공격에 대해 아직 자세히 아는 것이 아니라 완전히 이해하는 것은 힘들었지만 어느 정도 진행 방식은 이해할 수 있었습니다.

 그리고 이 패킷 속에서 랜섬웨어를 추출해 가상머신에서 실행도 시켜보았는데요.

 말로만 듣고, 동영상으로만 봤었던 랜섬웨어를 실제로 접해볼 수 있어서 신기했습니다. 

 내일은 일단 마지막 패킷 분석 시간이 될 것 같습니다.

▶ 이 블로그의 [Wireshark] 사용자 편의를 위한 설정 보러가기

 요즘 순수 교육일이 1달이 넘어가게 되면서 조금씩 지치는 느낌이 드네요.

 처음엔 지각하지 않았던 기수들도 조금씩 지각이 보이기 시작하는 시기입니다.

 그만큼 교육이 힘들어요...

 교육 첫 날에 담당 선생님께서 나중되면 지각들 많이 하게 될 것이라고 하셨을 땐 서로 웃어 넘겼는데, 점점 현실이 되어가고 있어요. 

 다음주에 있을 정보보안기사 필기 시험이 마무리되게 되면 기수들끼리 한 번 모여 더 잘해보자는 단합의 자리를 만들어봐야겠어요.

 더 방해가 되려나요? 하하... 

 서론은 여기까지하고, 오늘의 교육 내용으로 넘어가보겠습니다.

 오늘 역시 어제에 이어 네트워크 패킷 분석을 하였습니다.

 요즘 이 패킷 분석을 하며 눈이 빠질 것 같아요. 

 지금까지는 대부분 컴퓨터 화면을 보면 알아볼 수 있는 내용이 더 많았었는데, 이 Wireshark란 프로그램은 한 번에 알아보기가 쉽지가 않네요.

 이번주가 시작되었을 때는 금새 익숙해질 것만 같았는데, 아무래도 시간이 조금 더 걸릴 것 같습니다.

 네트워크 패킷 분석이라는 수업 내용은 어제와 같았지만 문제의 난이도는 확 상승되었습니다.

 패킷 파일 안에 포함되어있는 키를 추출한다든지 패킷 파일을 보고 어떤 용도로 사용되었는 지 찾는 등 많이 심화된 내용의 문제를 풀었습니다.

 내일이면 벌써 한 주의 마지막이 되는 날이네요.

 마지막까지 힘내봐야겠습니다. 

 7월 13일부터 교육을 시작해 더위와 비가 계속이었었는데, 오늘부터는 아침이 조금 쌀쌀해지기 시작했습니다.

 벌써 여름의 기운이 사라져가는 것 같아요.

 그 만큼 교육의 시간도 빨리빨리 지나가는 것 같아 슬픕니다. 

 오늘은 간단한 네트워크 프로토콜 별 패킷 분석과 SMTP와 포트 스캔 실습이 있었습니다.

 네트워크 프로토콜 패킷 분석은 Telnet, ICMP, IP Fragment정도 진행하였습니다.

 어제에 이은 두 번째 분석이었는데요.

 아직 Wireshark를 다루는 부분이 익숙하지 못한 것 같습니다.

 분명히 엄청나게 유용한 도구임에도 불구하고, 아직 활용을 제대로 하지 못하고 있는 점이 아쉽네요. 

 이번주가 다 지나가기 전에 Wireshark를 더욱 잘 다룰 수 있도록 노력해야겠어요.

 그리고 SMTP(Simple Mail Transfer Protocol)의 개념과 역할을 배우고 메일을 직접 보내보는 실습을 해보았습니다.

 사실, 이론으로 책에서만 배웠었고 사용은 항상 N사, D사 등의 메일 시스템을 이용해왔기에 조금 낯설었어요.

 마지막으로 포트 스캔의 종류와 각각의 개념에 대해 배웠습니다.

 Connect Scan, Syn Scan, Fin Scan, Null Scan, Ack Scan, idle Scan, Decoy Scan 등 많은 스캔 방식이 있는데요.

 방식마다 장점과 단점이 있고, 방화벽의 여부에 따라 스캔이 다르게 되는 상황을 보였습니다.

 정보보안기사를 준비하며 한번쯤 공부했던 내용이었는데요.

 아무래도 무작정 이론만 공부하기보다 오늘처럼 실습과 함께 공부를 하니 머릿속에 더 잘 들어왔던 것 같습니다.

 네트워크 패킷 포렌식을 배운지 아직 이틀차지만 많은 부분에서 경험을 쌓는 것 같습니다.

 점점 더 기대되는 한 주 입니다! 

 오늘은 8월의 마지막 주이자 한 주의 첫 시작을 알리는 월요일입니다. 

 이번주 부터는 '네트워크 패킷 포렌식'을 진행하게 되는데요.

 벌써 교재로만 6번째 책이네요.

 원래대로라면 네트워크 공격에 대해 파악하고 포렌식을 나가는 방식이었지만 이번 과정부터는 포렌식이 잠깐 먼저 끼었다고 하네요.

 그래서인지 오늘은 기초적인 네트워크 패킷을 분석해보는 방법을 배웠습니다.

 와이어샤크라는 프로그램을 이용해서 말이죠.

 우선 이번에 사용하게 될 교재는 다음과 같습니다.

 리눅스와 윈도우가 끝나고 난 뒤 부터는 쉴틈없이 계속 이어지는 것 같네요.

 영화나 인터넷에서 말로만 듣던 포렌식에 드디어 한 발을 내딛게 되었습니다.

 오늘은 간단히 Wireshark를 다뤄보았습니다.

 미리 캡쳐된 ARP, DHCP, DNS, HTTP, FTP의 패킷을 Wireshark를 통해 간단히 분석해보았습니다.

 분석이라고 해봤자 아직 어느 곳을 봐야하는 지, 어디에 무엇이 있는 지 정도지만요.

 이 포렌식 강의는 토요일과 일요일을 제외하고 순수 7일동안 진도를 나가게 될 것 같습니다.

 이번 강의 역시 기초를 탄탄히 잡아가며 시작해야 겠습니다. 

 ▶ 이 블로그의 [기타] 스위치 환경에서의 스니핑 방법 보러가기