프로젝트 관련 글
[IT/Security] - [프로젝트] 네트워크 포렌식 개요
[IT/Security] - [프로젝트] 네트워크 포렌식 증거 수집
[IT/Security] - [프로젝트] 네트워크 포렌식 패킷 분석 - 1
[IT/Security] - [프로젝트] 네트워크 포렌식 패킷 분석 - 2
5. 첨부파일 분석
- 카빙한 첨부파일 내용
• ngreptest.docx (원래 파일명은 secretrendezvous.docx)
앞서 카빙한 docx 파일을 열면, ▼아래 그림과 같이 내용을 확인 할 수 있다.
"우리가 만날 지점은 분수대 근처이고, 주소는 아래 적혀있어. 내 모든 현금을 가지고 나갈게"라고 적혀있고, 그 아래 이미지에 지도와 함께 상세한 주소가 나타나있다.
Playa del CarmenAv. Contituyentes 1 Calle 10 x la 5ta AvenidaPlaya del Carmen, 77780, Mexico01 984 873 4000
6. 자동화 Tool 사용
- 네트워크마이너
• 상위 계층 프로토콜 분석 도구 중에서 네트워크마이너를 사용하여 위의 작업을 간편하게 수행하도록 한다.
•
정의
NetworkMiner는 순수 국내 기술로 개발된 소셜 네트워크 분석 소프트웨어로,데이터 변환, 네트 워크 분석, 통계분석, 네트워크 시각화 기능 등을 유연하게통합하여 편리한 사용환경을 제 공합니다. 특히, NetworkMiner는 데이터의 분석과시각화를 상호작용적으로 수행할 수 있어 탐색적인 분석을 가능하게 합니다
• 설치 및 실행1) NetworkMiner 프로그램을 다운로드
http://sourceforge.net/projects/networkminer/
2) 실행화면
File > open > evidence-packet-analysis.pcap 예제파일을 선택한다.
파일을 실행시키면 자동으로 분석해준다 100% 되면 자동으로 분류해준다.
Host :각종 mac주소 ip주소 정보확인
Frames : 프레임 파일
File : 통신했던 파일 < 이 탭에서 위의 카빙한 워드파일을 손쉽게 확인해 볼 수 있다.
imaes : 통신했던 이미지 저장
Messages : 패키지안에 메시지 주고받은 내용 확인
Credentials : 메일 아이디 비밀번호 확인
Sessions : 연결
7. 사건 정리
- 타임라인
•
13:32:01.419886 패킷 캡처 시작
( 캡처된 패킷(evidence-packet-analysis.pcap)의 첫 패킷 시간 확인 )
• 13:33:05.834649 - 13:33:07.847758첫 번째 SMTP 통신. 앤의 컴퓨터에서 발신자 sneakyg33k y@aol.com와 수신자 inter0pt1c@aol.com인 메일이 전송
• 13:34:15.110657 - 13:34:17.204721두 번째 SMTP 통신. 앤의 컴퓨터에서 발신자 sneakyg33k y@aol.com와 수신자 d4rktangent@gmail.com인 메일이 전송
• 13:35:15.504697 - 13:35:23.263802세 번째 SMTP 통신. 앤의 컴퓨터에서 발신자 sneakyg33k y@aol.com와 수신자 mistersekritx@aol.com인 메일이 전송
• 13:35:23.263802패킷 캡처 종료
( 캡처된 패킷(evidence-packet-analysis.pcap)의 마지막 패킷 시간 확인 )
- 분석 내용
• 앤 델커버는 이메일 주소로 sneakyg33ky@aol.com을 사용하였다.
• 앤(sneakyg33ky@aol.com)은 3명의 수신자에게 이메일을 보냈다.1) inter0pt1c@aol.com2) d4rktangent@gmail.com3) mistersekritx@aol.com
• 앤 델커버의 이메일 내용들을 알아내었다.
( 3. 키워드 검색, 검색결과 분석 - 확인된 내용 분석 • 확인된 패킷 정리 참고 )
• 의심스러운 파일을 주고 받아서 복원하였다.
| 파일명 | secretrendezvous.docx |
| 내용 | Meet me at the fountain near the rendezvous point. Address below. I`m bringing all the cash. + 아래 지도와 주소가 있는 이미지 |
| 이미지 |  |
■ 참고
• http://kimtaiyong.blog.me/150049073933 - [블로그] ngrep 옵션과 설정
• http://www.packetinside.com/2010/05/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%ED%8C%A8%ED%82%B7-%EC%BA%A1%EC%B3%90-%ED%8C%8C%EC%9D%BC%EC%97%90%EC%84%9C-%ED%8C%8C%EC%9D%BC-%EC%B6%94%EC%B6%9C%ED%95%98%EA%B8%B0-using-tcpxtract.html - 네트워크 패킷 캡쳐 파일에서 파일 추출하기 (using Tcpxtract)
• 네트워크 포렌식 ( 4장 패킷 분석 ) - 조너선 햄, 셰리 다비도프 지음/ 에이콘 출판사
끝
'IT > Security' 카테고리의 다른 글
| [기사] 네트워크 회복탄력성 연합 출범… “취약점 해결 목표” (0) | 2023.07.28 |
|---|---|
| 정보보호제품/네트워크 장비/SDN 장비 보안적합성 검증 (0) | 2020.06.25 |
| [프로젝트] 네트워크 포렌식 패킷 분석 - 2 (0) | 2019.01.04 |
| [프로젝트] 네트워크 포렌식 패킷 분석 - 1 (0) | 2018.12.31 |
| 주요통신기반시설 취약점 분석 평가 가이드 (0) | 2018.08.10 |