본문 바로가기

computer forensics

네트워크 포렌식 (backdoor)

728x90

아래 봇 서버에서 감염된 .DLL 파일을 실행에 의해 시작 악성 트래픽에 PCAP 분석하는 솔류션을 통해 pcap 파일을 얻게 되었다.

해당 pacp 파일을 snorby 브라우저를 통해서 확인 하였다.


이 쉘 코드에 대한 표시 언뜻 보면 CPU를 통해 NOOP을 썰매로 사용 버퍼 오버플로 공격.한걸로 보여진다.

1. 클라이언트가 손상되었다 원래 웹 요청의 전체 URI는 무엇인가?

문제를 주어진 5 대의 서버가 있었다. 그들 중 네 쿠키 쉘 코드 및 잠재적 인 버퍼 오버 플로우 탈취 (209.85.143.100, 209.85.143.18와 92.122.126.216)의 문제를 제공했다. 그러나 단 하나의 (10.20.0.111) 클라이언트 실행 파일을 보내거나 쉘 코드 (그림 27)를 통해 dll을. 클라이언트 피해자가 보낸 HTTP GET 요청에 의해 필터링해야하는 URI 캡처 발견합니다.

필터링 방법 : Filter: (ip.src==10.20.0.165)&&(http.request.method==GET)&&(ip.dst==10.20.0.111)


아래 3개를 확인 결과

"banking.htm" provided by server  10.20.0.11 포트 8080으로 URI=http://10.20.0.111:8080/banking.html 되는걸 확인 할 수 있음

2. 악의적 인 서버에 최종 웹 요청의 요청은 어떤 파일 형식인가?

분석결과 아래 그림과 같이 27 드라이브 IP 주소 10.20.165의 클라이언트는 IP 주소 10.20.0.111의 손상 서버로 리디렉션되었다. 손상된 서버에서 최종 요청을 찾으려면, PCAP 서버의 IP를 소스 주소로 필터이었다. 거기에 쉽게에서 프로토콜의 HTTP 유형이 발견하고, TCP 스트림을 다음과 현명한 GIF 형식의 파일이 발견 된 대화의 서버 - 클라이언트를 필터링하여 하였다.


3. 해당 파일의 SHA1 해시는 무엇입니까?

GIF 파일로 저장 하였다 위에서 발견 SHA1 해시 값을 이진 데이터에 강조되었고

sha1sum 도구가 해시 값을 계산하는 데에 사용되었다 왜냐하면 CLI 후 아래에 보여 때문이다.



4. 클라이언트가 손상되었음을 나타냅니다 첫 번째 프레임의 수는 몇 개입니까?

이미지 "Sguil 필터링 출력"사실을 고려, 아래 질문에서 인수를 따라 그 기본 포트로 metaspoilt 사용 4444 [2] 역 HTTP의 경우, PCAP가 손상 처음으로 프레임 4722을 결과하는 소스 포트 4444에 대한 필터했다 악용되었음을 볼수 있다.

5. 한 시점에서, 악성 단절 클라이언트에 악성 파일을 전송합니다. 이 파일의 어떤 유형입니까?

Snorby에 의해 검출 된 심각도가 높은 패킷을 조사함으로써, 대부분의 트래픽이 버퍼 오버 플로우가 악용와 쉘 코드 기반 (시작 NOOP 썰매) 인 것을 명확하게 볼 수 있습니다. 그러나 그것은 하나의 IP 주소 10.20.0.111의 서버에 의해 전달 된 윈도우 실행 파일이나 DLL 파일을 나타내는 위협을 발생합니다.

추가 조사는 Sguil 이루어졌다. 첫 번째 단계는 의심스러운 서버의 IP 주소를 기준으로 모든 경고 파일러했다.



sguil 다양한 방법, 증명서 모든 TCP 시퀀스 대화를 패킷에 질의 할 수 있으며 또한 추가 조사를 위해, 와이어 샤크 networkminer 등을 통해 시퀀스를 송신한다. 

불행하게도 의심스러운 이벤트를 감지하지 않은 networkminer 또한 모든 파일의 압축을 풉니다. 따라서 의심스러운 TCP 시퀀스는 추가 조사 및 악성 파일 착취의 본질 추출 와이어 샤크로 보내졌다.


다음 단계는 TCP 시퀀스의 특성을 조사 하였다. 와이어 샤크에 수출하는 모든 패킷이 하나의 TCP 대화 한, 어떤 패킷을 선택하여 TCP 스트림을 다음함으로써 "DOS 모드에서 실행할 수 없습니다"악성 파일에 의해 실행되는 일부 일부 스크립트가 밝혀졌습니다."악성 프로그램"클라이언트 상기 제 1 부 대화 서버가 추출 하였다 (그림 의 성격을 알 수 있습니다. 그것을 헤더를 읽어 파일 확장자 등에 대한 기본 정보를 제공 

내가 제일 포렌식 도구를 사용하여 DLL 또는 EXE 파일입니다 중 하나를 발견합니다. 그러나 결과는 이메일에 첨부 파일 다운로드시 거부에 대한 설명과 함께.


따라서 서버에 의해 주입 된 악성 파일은 "urlmon.dll을"입니다.

6. 악성 파일의 SHA1 해시는 무엇입니까? 

다음과 같이 수출 악성 파일의 SHA1을 계산하기 위해 분투 분포 (보안 어니언) 명령 시설은 터미널 평가를 기반으로 된 도구 이용합니다.

7. 어떤 취약점을 이용하였는가?

피해자가 악성 URI에 액세스하여 손상했기 때문에, 취약한 소프트웨어가 일부 브라우저있다. 그것을 어떤 발견하기 위해 HTTP 프로토콜의 세부 사항은 모질라 4.0 브라우저를 나타내는 사용자 에이전트를 확인해야합니다.

8.(CVE-$ year- $ 숫자의 형태로 답) 이용되었다 여기에 취약점을 커버 해당 CVE 보안 공지를 제공 할 수 있습니다.

어니언 보안 침입 탐지 시스템은 Snort 규칙 데이터베이스를 사용하여 서명에 기초하여 검출된다. 이 경우 경고는 사용자 에이전트가 모질라 브라우저 지정된 페이로드와 홈 네트워크에 대한 TCP 인터넷 소켓에서 vulnerbalities 찾고 서명 SID 2000419으로 팝업했다. 



먼저 나는 악의적 인 DLL에 대한 칼리 리눅스 (그림)에서 사용할 수 searchsploit 도구를 사용합니다. 결과는 Internet Explorer 버전 7.0 및 5.0 공격을 반환합니다.


더 연구를 수행하고 질문 5, 7, 기사도 9에서 수집 한 정보에 따라가 "어떻게 역 백도어를 만들려면"이 것은 악용이 프로젝트 오로라를 기반으로 가정을 구동한다. [4] 방법 중 하나는 이것에 대한 CVE를 찾을 수 착취는 해당 정보로 또는 구글 엔진을 사용하여 간단한 검색 별 취약점 연구소의 데이터베이스를 통해 검색입니다. [5] 다른 방법은 안티 바이러스를 사용하여 파일을 검색하는 것입니다.CVE는 CVE-2010-0249이다.

9. 캡처로부터, 침입자가 액세스의 소정 형태 (즉, 인터페이스), 클라이언트에 공격자가 "GET"않는 액세스 무슨 (유형)를 얻는 것은 분명하다?

그림에 표시된대로 쉘 코드가 만들어졌습니다. 추가 조사가 경고 "아니 오프셋 TCP 쉘 코드와 ET 쉘 코드 가능한 전화"가 발생 순서에 Sguil에서 수행 된 액세스에 대한 자세한 내용을 찾을 수 있습니다.


정확히 경고를 따라 트리거 무엇으로 얻으려면, 리퀘스트 요청했다.


전사를 통해 스크롤하면 Windows 커널 (32)에 대한 라이브러리의 주입이 수행 된 증거가있다 [6]. 추출 암호에 대한 라이브러리의 실행이 meterpreter 작성 (VNC 및 탐색 할 수를 사용하여 장치의 화면을 제어 할 수 있도록 메타 스플로 잇 기반의 페이로드를, 업로드 및 다운로드 파일은 [7]) 암호화 역 쉘을 생성하는 (추출 40분의 56 스탠드 HTTP를 통해 암호화를 제안 SSL 개시에서 키 40분의 56 [8] 비트). reverse_https을 제안하는 모든 메타 스플로 잇은 SSL 세션 내부 meterpreter 백도어 연결을 생성하는 이용한다. [9]

REF: 


[1] Kyle Haugsness, SANS, “Intrusion Detection FAQ: What is polymorphic shell code and what can it do?”. Internet: http://www.sans.org/security-resources/idfaq/polymorphic_shell.php [Mar 22, 2014]


[2] Offensive Security, “Msfpayload”. Internet: http://www.offensive-security.com/metasploit-unleashed/Msfpayload. [Mar 22, 2014]


[3] SourceFire Forum,”CVE Mapping to Snort Rule”. Internet:https://community.sourcefire.com/questions/cve-mapping-to-snort-rule. Nov 7, 2012 [Mar 22, 2014]


[4] Damballa, “The Command Structure of the Aurora Botnet”, Internet:https://www.damballa.com/downloads/r_pubs/Aurora_Botnet_Command_Structure.pdf, [Mar 22, 2014]


[5] Extraexploit, “IExplorer 0day CVE-2010-0249 – Exploit-Comele/Hydraq/Aurora”. Internet:http://extraexploit.blogspot.ie/2010/01/iexplorer-0day-cve-2010-0249.html, Jan 20, 2010 [Mar 22, 2014]


[6] Jarkko Turkulainen, “Remote Library Injection”. Internet:http://www.nologin.org/Downloads/Papers/remote-library-injection.pdf, [Mar 22, 2014]


[7] Variuos Authors, Wikipedia, “Metasploit Project”. Internet:http://en.wikipedia.org/wiki/Metasploit_Project, Mar 9, 2014 [Mar 22, 2014]


[8] OpenSSL, “Ciphers(1)”, Internet: https://www.openssl.org/docs/apps/ciphers.html, [Mar 22, 2014]


[9] NEtresec, “How to detect reverse https backdoors”, Jul 9, 2011 [Mar 22, 2014]


728x90