台科大網路鑑識課程封包分析及中繼站追蹤

網路鑑識與中繼站追蹤
JACK

題綱
 目標
 封包分析使用工具
 困難點
 案例分析
 駭客攻防封包分析
 Q&A

中繼站?
 駭客在從事惡意活動時，為了掩藏自己的網路位址，會透過
中繼站主機，對遠端的受害電腦進行操控、破壞。

中繼站功能
 竊取受駭電腦資料。
 遠端遙控受駭電腦，進行後續入侵之中繼站。

目標
 從受駭電腦追蹤中繼站來源
 瞭解中繼站攻擊狀況
 惡意程式類型
 發掘其他受駭單位

從受駭電腦開始
 以netstat 檢查不尋常連線
 netstat 是一個可以查詢本機網路和外界網路連線的指令，
可以透過這個指令查詢得知有沒有奇怪的連線在你的機器，
也可透過指令瞭解電腦連線的狀況。

從受駭電腦開始
 TCPView
 TCPView 是一款用來監控電腦上 TCP 有及 UDP 連線情
況的圖形化工具軟體，其能顯示所進出系統的連線資
訊，包括連線的程序、協定、本機及遠端位址、連線
狀態等。
 http://ppt.cc/M43zH

連線手法
 Remote Access Trojan (RAT)(Port:443)
 Poison Ivy
 Gh0st
 Bifrost
 遠端桌面(Port:3389)
 VPN (Port:1723,etc.)

追蹤中繼站來源
 分析惡意程式
 動態分析
 靜態分析
 DNS反追IP來源
 https://www.hybrid-analysis.com/

從電腦LOG追查登入資訊
 MyEventViewer
 可協助使用者快速瀏覽、查詢電腦問題的報告，或是
安全性警告及其他Windows內的事件。
 Event ID 4624: An
account was
successfully
logged on
 http://ppt.cc/r0RMs (32)
 http://ppt.cc/quUAT (64)

瞭解攻擊狀況
 判斷中繼站行為
 連線方式
 封包特徵
 有無其他受駭單位
 縮小範圍
 進行封包側錄

封包側錄架構
待測端電腦 Switch or Router
INTERNET
待測端電腦 Switch or Router
INTERNET
HUB
側錄裝置

封包側錄架構
可疑電腦
NAT
INTERNET
可疑電腦
可疑電腦
可疑電腦
側錄點的選擇
Network Address Translation

現場確認
 Port mirroring is used on a network switch to send a copy
of network packets seen on one switch port (or an entire VLAN)
to a network monitoring connection on another switch port.

封包監聽與分析
 Tcpdump.sh(LINUX) Windump.bat(WINDOWS)

封包監聽與分析
 DumpBinary (file analyze)
 IPS analyze (attack analyze)
 Multi blacklist (C&C analyze)
 NetWorkMiner
 Malcom
 異常連線比對資訊：
 技服中心惡意中繼站清單
 http://malware-traffic-analysis.net/
 http://myip.ms/browse/blacklist/Blacklist_IP_Blacklist_IP_Addr
esses_Live_Database_Real-time
 http://vxvault.siri-urz.net/ViriList.php
 http://www.malwaredomainlist.com/mdl.php
 http://www.tekdefense.com/automater/

使用工具
 WireShark
 Wireshark是一個免費開源的網路封包分析軟體。網路封包
分析軟體的功能是截取網路封包，並盡可能顯示出最為詳
細的網路封包資料。

使用工具
 NetworkMiner
 NetworkMiner主要用於網路取證，它雖然可以用來擷取封
包，但如何從語法分析PCAP檔案才是它的真正強項，
NetworkMiner會分析PCAP檔案並將它們分解成作業系統及
主機之間的交談，甚至可以直接從中提取轉換過的檔案。

使用工具
 Snort
 Snort是一套開放原始碼的網路入侵預防軟體與網路入侵檢
測軟體。Snort使用了以偵測簽章（signature-based）與通
訊協定的偵測方法。 Snort被認為是全世界最廣泛使用的
入侵預防與偵測軟體。
 Rules:
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"TROJAN
Malicious User-Agent"; content:"|0d 0a|User-Agent: Wefa7e"; classtype:trojan-
activity; sid:2000001; rev:1;)

使用工具
 CapTipper
 Malicious HTTP traffic explorer
 CapTipper is a python tool to analyze, explore and revive HTTP malicious traffic.
 https://github.com/omriher/CapTipper
 http://ppt.cc/qEXsD (LAB1)
 http://ppt.cc/JkkeO (LAB2)

使用工具
 SecurityOnion
 Security Onion is a Linux distribution for intrusion
detection, network security monitoring, and log
management. It’s based on Ubuntu and contains Snort,
Suricata, Bro, Sguil…
 http://sourceforge.net/projects/security-
onion/files/?source=navbar
 https://security-onion-solutions.github.io/security-
onion/

NETWITNESS INVESTIGATOR
 可視化封包分析
 http://ppt.cc/INa8D

EXERCISE
 NUCLEAR Exploit Kit & CRYPTOWALL MALWARE

EXPLOIT INTRODUCTION
 ExploitKit is a toolkit that automates the
exploitation of client-side vulnerabilities,
targeting browsers and programs that a website
can invoke through the browser.

練習時間
 http://ppt.cc/qEXsD

EXERCISE
CHANITOR/VAWTRAK MALSPAM - SUBJECT: E-
TICKET FROM AMERICAN AIRLINES

練習時間
 http://ppt.cc/JkkeO

使用工具
 Python
 Python是一種物件導向、直譯式的電腦腳本語言，具有近
二十年的發展歷史。它包含了一組功能完備的標準庫，能
夠輕鬆完成很多常見的任務。
 Library: dkpt
 Library: Scapy

困難點
 大量的封包數據，耗費時間。
 通道已被加密，難以得知內容。
 Encrypted Packet Flow
 HTTPS
 硬體工具效能障礙。
 10/100M vs 1G

INTRUSION PREVENTION SYSTEM
 Signature-Based Detection
 Hash-Based Detection
 Sandbox-Based Detection

CASE
 案例分析
 受駭電腦，變成中繼站。

Maltego 是一套網路情報
與偵察應用工具，提供探勘與蒐
集資訊的能力，並將這些資訊用
容易解讀的方式表現出來。
Maltego 可以做到將蒐集到的相
關資訊—網路、組織、個人—彼
此做對應，以便讓使用者進行識
別，且更為容易看出各實體的交
集點。
免費版的節點顯示數目上限為
12 個，而付費版最多可至一萬
個。

PASSIVETOTAL
 https://www.passivetotal.org

AUTOMATER
 Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at
making the analysis process easier for intrusion Analysts. Given a target
(URL, IP, or HASH) or a file full of targets Automater will return relevant
results from sources like the following: IPvoid.com, Robtex.com,
Fortiguard.com, unshorten.me, Urlvoid.com, Labs.alienvault.com,
ThreatExpert, VxVault, and VirusTotal.
 https://github.com/1aN0rmus/TekDefense-Automater


THREATCROWD
 https://www.threatcrowd.org/

PROS&CONS
 優點
 擴大惡意活動輪廓
 可作為網路監控之自建資料庫
 缺點
 依賴線上資料庫提供資訊
 資料量過於龐大

網站密碼猜測封包解析(1)
 練習
 使用Wireshark 打開Brute_dict.pcapng
 找出登陸成功的帳號與密碼
 http://ppt.cc/ayJtt
55

網站密碼猜測封包解析(1)
 練習
 答案
56

網站SQL INJECIOTN攻擊封包解析
 練習
 使用Wireshark 打開sqlIIIIII.pcapng
 找出受攻擊的網站
 找出具有SQLI漏洞的程式與參數
 http://ppt.cc/jzxTx
57

網站SQL INJECIOTN攻擊封包解析
 練習
 答案
58

台科大網路鑑識課程封包分析及中繼站追蹤

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a 台科大網路鑑識課程封包分析及中繼站追蹤

Similar a 台科大網路鑑識課程封包分析及中繼站追蹤 (20)