Puzzle #6: Ann's Aurora

Vick Timmes의 원래 웹 요청의 전체 URI는?(포트 포함)

정답 : http://10.10.10.10:8080/index.php

이에 대응해 악성 웹서버는 JavaScript 보냈다.

이 코드의 시작 부분 근처에 공격자가 "COMMENT"라고 표시된 1300개의 요소가 있는 배열을 만든 다음 데이터 요소에 문자열을 채웠다.

이 문자열의 값은?

정답 : "vEI"

Vick컴퓨터는 객체에 요청 2개 보냈다.

a. 요청된 객체의 파일 이름?

b. 반환된 객체의 MD5sum? 

요청 2개

a 정답 : index.phpmfKSxSANkeTeNrah.gif

2번째로 10.10.10.10에 반환된 파일을 Raw로 저장해 "GIF"앞 문자열을 다 잘라낸다.

b 정답 : df3e567d6f16d040326c7a0ea29a4f41

포트 4444의 TCP 세션이 언제 열렸는가?

정답 : 1.3초

포트 4444의 TCP 세션이 언제 닫혔는가?

정답 : 87.6초

패킷 17에서 악성 서버가 클라이언트로 파일을 보냈다.

어떤 종류의 파일?

파일의 MD5sum? 

"MZ"로 시작하는 거 보니 PE 파일이다.

a 정답 :  Windows executable

기본적으로,

실행 파일을 네트워크를 통해 전송하는 것은 실제로 안전하지 않다.

왜? 누군가가 실행 파일에 포함된 명령을 통해 컴퓨터에 작업을 수행할 수 있기 때문에

위에 확인한 실행파일의 md5 체크섬을 찾기위해 파일을 컴퓨터(로컬)에 저장해야 분석할 수 있다.

'file.exe' 로 저장한다.

그런 다음 형식을 dll파일 같은 실행 가능 파일 형식으로 변경해서 파일에 액세스 가능하게 해야한다.

foremost 명령 사용

foremost file.exe 을 실행해서 안에 들어있는 파일을 추출한다.

file.exe 파일을 확인해보면

b 정답 : b062cb8344cd3e296d8868fbef289c7c

Vick 컴퓨터는 4444번 포트의 원래 연결이 닫힌 후에도 4445번 포트 서버에 반복적으로 연결을 시도했다.

연결 시도의 반복된 실패에 관한 질문

TCP초기 시퀀스 번호(ISN)가 얼마나 자주 변경되는가?

시퀀스 번호 : 세그먼트 데이터의 순서번호를 표시

(각 계층 패킷의 구분을 위해 4계층-세그먼트, 3계층-패킷, 2계층-프레임으로 구분)

3Way-Handshacking 수행시 ISN(Initial Sequence Number)의 기능도 한다.

자세한 내용은 따로 작성해둔 글 참고

0 1(증가) -> 0 1(증가) -> 0 1(증가) 순으로 변경된다.

정답 :  Every third packet

IP ID가 얼마나 자주 변경되는지?

패킷 IP헤더의 identification을 확인하면 된다.

359 -> 0 -> 360 -> 0 -> 361 순으로 변경된다.

정답 :  Every packet

source 포트는 얼마나 자주 변경되는지?

source 포트는 TCP헤더의 source port를 확인하면 된다.

source port가 1037일 때 : 35.94초

source port가 1038일 때 : 47.73초

정답 : Every 10-15 seconds

결국, 악의적인 서버가 응답하고 새로운 연결이 생겼다.

4445번 포트의 TCP연결이 처음 성공적으로 완료된 시점?

정답 : 123.7초

그 후에, 악의적인 서버가 4445번 포트에서 실행파일을 클라이언트로 보냈다.

이 실행 파일의 MD5sum?

아까와 같이 추출해보니 같은 파일인가 보다.

정답 : b062cb8344cd3e296d8868fbef289c7c

4445번 포트의 TCP연결이 언제 닫히는지?

정답 : 198.4초