[디지털 포렌식] 네트워크 포렌식

정의

컴퓨터 네트워크 트래픽에서 목적 정보를 수집하고, 분석하는 일련의 과정 또는 기술

기초

TCP 헤더

• SYN(Synchronization) : 초기에 세션 설정에 사용됨
• ACK(Acknowledgement) : SYN에 대한 응답
• FIN(Finish) : 세션을 종료시키는데 사용 (정상 종료)
• RST(Reset) : 재설정을 하는 과정에서 사용 (비정상 종료)
• PSH(Push) : 대화형 트래픽에 사용되는 것으로 버퍼가 채워지기를 기다리지 않고 데이터를 바로 전달
• URG(Urgent) : 긴급 데이터 전송 플래그

TCP 3-Way HandShaking

• 네트워크 통신연결에 있어 가장 기초가 되는 연결 방식

client -> server(SYN 전송)

server -> client(SYN에 응답, ACK)

client -> server(ACK)

HTTP

• 현재 가장 광범위하게 사용되는 인터넷 프로토콜
• 요청(Request)과 응답(Response)
• 메소드를 이용해 요청에 대한 행위를 표시
• URL로 서버 자원에 접근

HTTP Method

• GET : 지정한 URL에 대한 정보를 요청
• POST : 서버에 데이터 처리를 요구할 때 사용(서버의 특정 값이나 서버의 상태를 변경할 때 사용)
• PUT : 지정된 URL에 HTTP 파일을 저장
• DELETE : 지정된 URL의 리소스를 삭제

도구

• 와이어샤크

무료로 사용 가능한 패킷 캡처 도구

유용한 필터링 - AND, OR, !

• 네트워크 마이너

네트워크 포렌식을 목적으로 만들어진 도구

다양한 파싱 기능을 지원

캡처 기능 지원

패킷 분석 시 나타나는 패킷 형태

• FTP, Telnet은 평문으로 전송
• SMTP, IPOP과 같은 메일전송 프로토콜은 base64로 인코딩 후 전송
• HTTP는 평문으로 데이터 전송
• PortScan과 같은 스캐닝 공격은 일정한 형태를 가지고 있음

실습

1번

1. filter에 telnet 검색 -> follow tcp stream

2. 80번 포트는 http

filter에 http 검색 -> follow tcp stream -> 내용이 너무 많음

http로 파일 업로드할 때는 put 메소드를 사용

ctrl + f 에서 string으로 put을 검색

3. ctrl + f로 naver.com 검색

실제로 naver에 검색했을 때의 url과 같은 형태인 내용을 확인

url 인코딩 된 내용을 디코딩

4. .jsp나 .asp를 검색

.asp 파일이지만 .jpg 확장명으로 끝나서 악성 파일이 올라간 취약점

2번

1. SANS Puzzle 1.pcap 파일을 와이어샤크로 열어서 패킷 확인

2. SSL 프로토콜의 패킷을 TCP Stream으로 확인

1, 2, 3번 문제 답 확인 가능

3. 회색으로 표시되는 패킷을 TCP Stream으로 확인

※ 와이어샤크에서 회색은 파일 전송을 의미

-> 첫 번째 회색 패킷은 관련없어 보이므로 두 번째 회색 패킷 확인

4번 문제 답 확인 가능

4. 5번 문제의 답을 찾기 위해 hashcalc라는 툴을 사용

5번 문제 답 확인 가능

5. 6번 문제의 답을 찾기 위해서는 파일 카빙이 필요

5-1. NetworkMiner 툴 사용

5-2. HxD 툴 사용

회색 패킷을 TCP Stream으로 확인할 때 아래에 ASCII를 Raw로 변경

변경된 내용을 모두 복사해 HxD의 새 파일에 붙여넣고 다른 이름으로 저장 > recipe.docx

ctrl + f로 파일 시그니처(파일 시작 위치)를 16진수로 전체 검색

검색된 위치의 윗부분 내용을 삭제하고, 저장해 파일을 열어 복원하면 내용 확인 가능

3번

round 1

1. round1.pcap을 와이어샤크로 열기

2. hint에서 chat을 좋아한다고 했기 때문에 IRC(Internet Relay Chat) 프로토콜을 사용했을 것이라 추측 가능

3. 와이어샤크에서 해당 프로토콜을 사용하는 패킷을 TCP Stream

대화 내용 확인 가능

4. 암호화 된 데이터는 html 인코딩 된 것으로 추측, 디코딩하여 확인하면 수요일 오후 2시인 것을 확인 가능

round 2

1. round2.pcap을 와이어샤크로 열기

2. Statistics > Conversations > TCP > B port 1024를 선택해서 왼쪽에 Follow TCP Stream

3. 파란 부분만 카빙해서 .tc 확장자로 저장

4. truecrypt를 설치해서 확인

round3

1. round3.pcap을 와이어샤크로 열기

2. File > Export Objects > HTTP > Content-Type 별로 정렬 > mms가 적힌 패킷을 TCP Stream

3. 패킷에서 mp4 확장자 확인하고 빨간색 패킷만 raw로 변경해 HxD에 복붙

4. mp4의 파일 시그니처 검색해서 윗 내용 지우고 카빙

5. 영상을 확인하면 dysentery( 장염? )를 가르킴

round4

1. round4.pcap을 NetworkMiner로 열기

2. Messages에서 문자 내용 확인

3. kml 문법 내용을 복사해서 .kml 파일로 생성

4. ctrl+h로 \"를 "로 변경

5. kml 뷰어를 검색해 파일 내용 확인

round 5

1. 압축파일을 열어서 찾아보면 그레고리가 쓰러져있는 사진을 확인 가능

round 6

1. NetworkMiner에서 카빙한 파일을 열어보면 내용이 삭제된 파일이 존재

2. 바이러스토탈에서 확인하면 악성코드로 판단

round 7

1. File > Export Objects > HTTP > Hostname 별로 정렬 > bankofamerica.tt.omtrdc.net 확인

round 8

1. Telephony > RTP > RTP Stream

2. 플레이하면 사운드가 재생됨