Cisco Network / Linux / 모의 해킹 / 정보 보안 :: Web Scan

Web Scan - 15. Xplico 사용 방법

수업용으로 진행하기 때문에 오픈 소스를 사용합니다. 실제 환경에서는 오픈 소스도 사용하지만, 라이센스를 사용하는 고성능/고품질/멋진 GUI 기반의 분석도구를 사용하는 것을 권장합니다.

- '*.pcap' 캡처 파일을 추출하는 네트워크 포렌식 분석도구이며, SecurityOnion에 설치되어 있다.

1. Xplico 메뉴

Xplico 메뉴

메뉴	내용
Case	케이스 생성 및 *.pcap 파일 업로드/추출
Graphs	DNS, ARP 요청/응답 확인
Web	클라이언트와 웹-서버 간에 요청/응답이 실시된 HTTP 패켓 확인
Mail	클라이언트와 이메일-서버 간에 이메일 송수신 패켓 확인
Chat	메신저를 이용하여 송수신된 패켓 확인
Share	HTTP, FTP, TFTP 파일 확인
Voip	VoIP 프로토콜(SIP, MGCP) 및 실시간 트래픽 전송 프로토콜(RTP) 패켓 확인
Shell	텔넷, Syslog 패켓 확인
Undeconded	암호화된 패켓 및 알수 없는 패켓 확인

2. Sguil을 이용한 침해 패켓 탐지

Sguil로 탐지한 '2015-08-31-traffic-analysis-exercise.pcap' 파일 내용

시스템 및 IP 주소

리다이렉션 시스템(악의적인 사이트)

3. Xplico 실행

첨부파일을 다운로드하여, SecurityOnion 바탕하면으로 복사한다

Xplico start 실시

root@kim-virtual-machine:/home/kim/Desktop# /etc/init.d/xplico start
* Starting Xplico Modifying priority to -1
[ OK ]

Xplico 실행

Xplico 로그인(xplico/xplico) 실시

4. Case 생성

'New Case' 클릭

Case 이름 입력 -> 'Create' 버튼 클릭

'Test' Case 클릭

'New Session' 클릭

Session 이름 적당히 입력(특수 문자 이런건 입력해도 다 사라짐)-> 'Create' 버튼 클릭

'Session' 클릭

와이어샤크(pcap 파일) 업로드 실시

업로드된 내용 확인

5. Graphs 확인

Graphs -> Dns -> DNS 요청 정보 확인

6. Web 확인

Web -> Site -> HTTP 관련 내용 확인 -> vitaminsthatrock.com 쪽에 'GET' 클릭

좌측 View 클릭 -> HTTP 요청 메세지 확인

우측 View 클릭 -> HTTP 응답 메세지 확인

우측 밑에 View 클릭 -> 리다이렉션을 실시하는 'iframe' 인젝션 공격 확인

Search -> 'service.php' 검색 -> php 링크 클릭

클라이언트가 랜섬웨어가 걸리면 출력하는 PHP 내용

Web -> Images -> 이미지 내용 확인

7. Undecoded

Undecoded -> TCP-UDP -> 암호화된 패켓 및 알수없는 패켓 확인

[유튜브] 동영상 강의 링크 (구독! 좋아요!!!)

Web Scan - 15. Xplico 사용 방법 https://youtu.be/3LJh8G64CE0