정보보안(구버전)/Web Scan 2019. 3. 6. 12:02
Web Scan - 13. Sguil - 와이어샤크 파일 사용 방법
수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.
- *.pcap 파일을 Sguil로 업로드하여 패켓 탐지가 가능하다.
1. Sguil 실행
Sguil 실행
Sguil 로그인(아이디/toor1234) 실시
'Select All' 버튼 클릭 -> 'Start SGUIL' 버튼 클릭
'F8'를 클릭하여 탐지된 OSSEC 정보 삭제 실시
OSSEC 정보 삭제 확인
2. Sguil 와이어샤크 파일 사용
첨부파일을 다운로드 하여, SecurityOnion 바탕하면으로 복사한다.
2015-08-31-traffic-analysis-exercise.pcap
13-0. pcap 파일 업로드 명령어.txt'2015-08-31-traffic-analysis-exercise.pcap' 파일 업로드 실시
|
kim@kim-virtual-machine:~$ cd Desktop
root@kim-virtual-machine:/home/kim/Desktop# /usr/bin/rule-update ~ 중간 생략 ~
root@kim-virtual-machine:/home/kim/Desktop# tcpreplay --intf1=eth0 2015-08-31-traffic-analysis-exercise.pcap |
'2015-08-31-traffic-analysis-exercise.pcap' 탐지 내용
시스템 및 IP 주소
|
시스템 |
IP 주소 |
|
클라이언트 |
192.168.137.239 |
|
웹-서버 |
64.20.39.203 |
|
리다이렉션 시스템(악의적인 사이트) |
46.108.156.181 |
|
CnC 서버 |
72.55.148.19 |
[참고] CnC(Command & Control) 서버
시스템으로 악성코드 유포, 스팸 전송, Dos/DDos 공격 명령을 전달하는 서버
'2015-08-31-traffic-analysis-exercise.pcap' 탐지 내용 분석
① 클라이언트는 웹-서버(64.20.39.203)로부터 EK(Exploit Key) 페이로드 인한 리다이렉션되는 패켓을 수신함
② 클라이언트는 DNS 서버(192.168.137.1)에게 DNS 쿼리를 전송함
③ 클라이언트는 리다이렉션으로 인하여 악성 사이트(46.108.156.181)으로 Flash 데이터(Exploit)를 요청함
④ 클라이언트는 웹-서버(54.126.11.220)으로 HTTP 요청을 실시함
⑤ 클라이언트는 CnC 서버(72.55.148.19)에게 TROJAN AlphaCrypt 악성 코드 요청을 실시함
⑥ 클라이언트는 웹-서버(72.55.138.19)로부터 랜섬웨어(TROJAN Alphacrypt/TeslaCrypt) 악성코드를 응답받음
[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)
Web Scan - 13. Sguil - 와이어샤크 파일 사용 방법 https://youtu.be/swGZIViIZxs
'정보보안(구버전) > Web Scan' 카테고리의 다른 글
| Web Scan - 15. Xplico 사용 방법 (0) | 2019.03.06 |
|---|---|
| Web Scan - 14. NetworkMiner 사용 방법 (0) | 2019.03.06 |
| Web Scan - 12. Sguil - Suricata (0) | 2019.03.06 |
| Web Scan - 11. Sguil - Snort (0) | 2019.03.06 |
| Web Scan - 10. SecurityOnion 설치 (0) | 2019.03.05 |
