Embed Size (px)
Citation preview
網路鑑識與中繼站追蹤
JACK
題綱
目標
封包分析使用工具
困難點
案例分析
駭客攻防封包分析
Q&A
中繼站?
駭客在從事惡意活動時,為了掩藏自己的網路位址,會透過中繼站主機,對遠端的受害電腦進行操控、破壞。
中繼站功能
竊取受駭電腦資料。
遠端遙控受駭電腦,進行後續入侵之中繼站。
目標
從受駭電腦追蹤中繼站來源
瞭解中繼站攻擊狀況
惡意程式類型
發掘其他受駭單位
從受駭電腦開始
以netstat 檢查不尋常連線
netstat 是一個可以查詢本機網路和外界網路連線的指令,可以透過這個指令查詢得知有沒有奇怪的連線在你的機器,也可透過指令瞭解電腦連線的狀況。
從受駭電腦開始
TCPView
TCPView 是一款用來監控電腦上 TCP 有及 UDP 連線情況的圖形化工具軟體,其能顯示所進出系統的連線資訊,包括連線的程序、協定、本機及遠端位址、連線狀態等。
http://ppt.cc/M43zH
連線手法
Remote Access Trojan (RAT)(Port:443)
Poison Ivy
Gh0st
Bifrost
遠端桌面(Port:3389)
VPN (Port:1723,etc.)
追蹤中繼站來源
分析惡意程式
動態分析
靜態分析
DNS反追IP來源
https://www.hybrid-analysis.com/
從電腦LOG追查登入資訊
MyEventViewer
可協助使用者快速瀏覽、查詢電腦問題的報告,或是安全性警告及其他Windows內的事件。
Event ID 4624: An
account was
successfully
logged on
http://ppt.cc/r0RMs (32)
http://ppt.cc/quUAT (64)
瞭解攻擊狀況
判斷中繼站行為
連線方式
封包特徵
有無其他受駭單位
縮小範圍
進行封包側錄
封包側錄架構 待測端電腦 Switch or Router
INTERNET
待測端電腦 Switch or Router INTERNET
HUB
側錄裝置
封包側錄架構
可疑電腦 NAT
INTERNET
可疑電腦
可疑電腦
可疑電腦
側錄點的選擇
Network Address Translation
現場實戰
現場確認
Port mirroring is used on a network switch to send a copy
of network packets seen on one switch port (or an entire VLAN)
to a network monitoring connection on another switch port.
封包監聽與分析
Tcpdump.sh(LINUX) Windump.bat(WINDOWS)
封包監聽與分析
封包監聽與分析
DumpBinary (file analyze)
IPS analyze (attack analyze)
Multi blacklist (C&C analyze)
NetWorkMiner
Malcom
異常連線比對資訊:
技服中心惡意中繼站清單
http://malware-traffic-analysis.net/
http://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addr
esses_Live_Database_Real-time
http://vxvault.siri-urz.net/ViriList.php
http://www.malwaredomainlist.com/mdl.php
http://www.tekdefense.com/automater/
使用工具
WireShark
Wireshark是一個免費開源的網路封包分析軟體。網路封包分析軟體的功能是截取網路封包,並盡可能顯示出最為詳細的網路封包資料。
使用工具
NetworkMiner
NetworkMiner主要用於網路取證,它雖然可以用來擷取封包,但如何從語法分析PCAP檔案才是它的真正強項,
NetworkMiner會分析PCAP檔案並將它們分解成作業系統及主機之間的交談,甚至可以直接從中提取轉換過的檔案。
使用工具
Snort
Snort是一套開放原始碼的網路入侵預防軟體與網路入侵檢測軟體。Snort使用了以偵測簽章(signature-based)與通訊協定的偵測方法。 Snort被認為是全世界最廣泛使用的入侵預防與偵測軟體。
Rules:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"TROJAN
Malicious User-Agent"; content:"|0d 0a|User-Agent\: Wefa7e"; classtype:trojan-
activity; sid:2000001; rev:1;)
使用工具
CapTipper
Malicious HTTP traffic explorer
CapTipper is a python tool to analyze, explore and revive HTTP malicious traffic.
https://github.com/omriher/CapTipper
http://ppt.cc/qEXsD (LAB1)
http://ppt.cc/JkkeO (LAB2)
使用工具
SecurityOnion
Security Onion is a Linux distribution for intrusion
detection, network security monitoring, and log
management. It’s based on Ubuntu and contains Snort,
Suricata, Bro, Sguil…
http://sourceforge.net/projects/security-
onion/files/?source=navbar
https://security-onion-solutions.github.io/security-
onion/
EXERCISE
NUCLEAR Exploit Kit & CRYPTOWALL MALWARE
EXPLOIT INTRODUCTION
ExploitKit is a toolkit that automates the
exploitation of client-side vulnerabilities,
targeting browsers and programs that a website
can invoke through the browser.
CHAIN OF EVENTS
PRELIMINARY MALWARE ANALYSIS
HIGHLIGHTS FROM THE TRAFFIC
EXERCISE
CHANITOR/VAWTRAK MALSPAM - SUBJECT: E-
TICKET FROM AMERICAN AIRLINES
TRAFFIC FROM INFECTED VM
SNORT EVENTS FROM INFECTED VM
PRELIMINARY MALWARE ANALYSIS
使用工具
Python
Python是一種物件導向、直譯式的電腦腳本語言,具有近二十年的發展歷史。它包含了一組功能完備的標準庫,能夠輕鬆完成很多常見的任務。
Library: dkpt
Library: Scapy
困難點
大量的封包數據,耗費時間。
通道已被加密,難以得知內容。
Encrypted Packet Flow
HTTPS
硬體工具效能障礙。
10/100M vs 1G
INTRUSION PREVENTION SYSTEM
Signature-Based Detection
Hash-Based Detection
Sandbox-Based Detection
CASE
案例分析
受駭電腦,變成中繼站。
Maltego 是一套網路情報
與偵察應用工具,提供探勘與蒐集資訊的能力,並將這些資訊用容易解讀的方式表現出來。Maltego 可以做到將蒐集到的相關資訊—網路、組織、個人—彼此做對應,以便讓使用者進行識別,且更為容易看出各實體的交集點。 免費版的節點顯示數目上限為 12 個,而付費版最多可至一萬個。
惡意程式資料庫
Maltego
PASSIVETOTAL
https://www.passivetotal.org
AUTOMATER Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at
making the analysis process easier for intrusion Analysts. Given a target
(URL, IP, or HASH) or a file full of targets Automater will return relevant
results from sources like the following: IPvoid.com, Robtex.com,
Fortiguard.com, unshorten.me, Urlvoid.com, Labs.alienvault.com,
ThreatExpert, VxVault, and VirusTotal.
https://github.com/1aN0rmus/TekDefense-Automater
THREATCROWD
https://www.threatcrowd.org/
PROS&CONS
優點
擴大惡意活動輪廓
可作為網路監控之自建資料庫
缺點
依賴線上資料庫提供資訊
資料量過於龐大
時代在進步-DROPBOX
時代在進步-GOOGLEDRIVE
駭客攻防封包解析
網站密碼猜測封包解析(1)
練習
使用Wireshark 打開Brute_dict.pcapng
找出登陸成功的帳號與密碼
http://ppt.cc/ayJtt
55
網站密碼猜測封包解析(1)
練習
答案
56
網站SQL INJECIOTN攻擊封包解析
練習
使用Wireshark 打開sqlIIIIII.pcapng
找出受攻擊的網站
找出具有SQLI漏洞的程式與參數
http://ppt.cc/jzxTx
57
網站SQL INJECIOTN攻擊封包解析
練習
答案
58
Q&A
