Network Packet Analysis[6]

본 포스팅에서는 네트워크 패킷 분석에 대해서 다룹니다.

(도구설치와 같은 기초 지식은 본 포스팅에서 다루지 않습니다.)

이전 포스팅에 이어서 문제를 풀어보겠습니다.

----------------------------------------------------------------------------------------------------------------------------------------

7. Mrs. Jensen은 이 이상한 이메일을 더 자세히 보기로 결심한다. 그녀는 계좌 잔고를 확인하기 위해 계좌에 대한 접근 권한을 계속 유지하기로 결정한다. Round 7 패킷을 사용해서 다음 질문에 답하시오.

Victoria가 지시한 허위(악의적인) 웹페이지의 URL은 무엇입니까?

 

[*] 문제풀이

문제 지문에서 허위 웹페이지의 URL이라는 단서가 주어졌기 때문에 Wireshark의 [HTTP Object] 기능을 이용하여 허위 웹페이지의 URL을 찾아보겠습니다.

[그림 1] 패킷 내 URL 흔적

 

[HTTP Object] 기능을 사용하면 접속한 URL 정보를 볼 수 있습니다. URL과 Filename을 보면 bankofamerica라는 은행사이트에 접속한 것을 알 수 있습니다. 지문에서 허위 URL이라고 언급된 것을 생각해보면 피싱사이트라 의심할 수 있으며, 피싱사이트는 은행사이트에서 대부분 많이 발생합니다. 그렇기 때문에 bankofamerica 은행사이트와 유사한 URL이 있을 것으로 추정됩니다. 다른 URL들을 좀 더 확인 해보겠습니다. 

[그림 2] .net URL 발견

 

[그림 2]와 같이 3015번 패킷을 보면 URL이 .net으로 끝나는 걸 볼 수 있습니다. 그리고 앞서 봐왔던 은행사이트 URL과 비슷하게 생겼지만 중간에 tt, omtrdc등의 문자열이 더 추가 되어 있습니다. 패킷을 [Follow TCP Stream] 기능으로 분석해보겠습니다.

==========================================================================

mboxHost=infocenter.bankofamerica.com&mboxSession=1373056092923-406506

mboxTime=1373035298047

mboxURL=http%3A%2F%2Finfocenter.bankofamerica.com%2Fsmallbusiness%2Fic2%2Fonline-banking%2Fview-balances-account-activity%2F

mboxReferrer=http%3A%2F%2Fwww.google.com%2Furl%3Fsa%3Dt%26rct%3Dj%26q%3Dwhy%2520is%2520my%2520bank%2520of%2520america%2520account%2520not%2520working%253F%26source%3Dweb%26cd%3D2%26ved%3D0CD4QFjAB%26url%3Dhttp%253A%252F%252Finfocenter.bankofamerica.com%252Fsmallbusiness%252Fic2%252Fonline-banking%252Fview-balances-account-activity%252F%26ei%3DdS_XUdu5Gei7igLL7YHQDw%26usg%3DAFQjCNEh7nqNYvobnOUp-5_YMQJn7YTKEQ%26bvm%3Dbv.48705608%2Cd.cGE&

mboxVersion=41

==========================================================================  

 

위와 같이 TCP Stream 내용을 보면 mboxReferrer 파라미터가 url 인코딩되어 있다. 디코딩을 통해 복구한 내용을 보면 다음과 같습니다.

 

http://www.google.com/url?sa=t&rct=j&q=why is my bank of america account not working

 

내용을 보면 Mrs. Jensen이 자신의 은행계좌가 동작하지 않는다고 구글에 검색한 것을 볼 수 있습니다. 정리하면 Mrs. Jensen은 악성 URL에 접속해서 자신의 은행계좌를 사용하려고 했지만 동작하지 않았습니다. 그래서 구글에 자신의 은행계좌가 동작하지 않는 이유에 대해 검색했습니다. 따라서 악성 URL은 은행사이트 URL과 비슷한 이름의 URL입니다.

 

8. Jack이 사건을 마무리 짓고 있을 때, 그는 수수께끼가 아직 끝나지 않았다는 것을 알게 된다. Round 8 패킷을 사용해서 수수께끼에 대해 자세한 내용을 알아보고 다음 질문에 답하시오.

누가 Gregory를 죽였는가?

[*] 문제풀이

Wireshark로 패킷을 분석하면 RTP 프로토콜 통신 기록이 존재합니다. RTP는 전송 계층 통신 규약 프로토콜로 실시간으로 멀티미디어(음성, 영상 등)를 송수신할 때 사용됩니다.

  

[그림 3] RTP 프로토콜 필터링 결과

 

RTP 프로토콜로 필터링하면 많은 수의 패킷들이 존재합니다. 패킷의 양을 봤을 때 멀티미디어 데이터를 송수신했을 가능성이 높슾니다.

 

Telephony 기능을 사용해서 RTP 프로토콜 패킷을 분석해보겠습니다. RTP 프로토콜 패킷이 선택된 상태에서 [Telephony] - [RTP] - [STREAM Analysis]를 클릭합니다.

[그림 4] RTP Stream Analysis

  

RTP Stream Analysis를 통해 RTP 프로토콜 패킷을 분석하면 음성과 관련된 정보들을 출력해준다. 멀티미디어 데이터에 어떤 내용이 존재하는지 확인해보자. 하단의 [Player] 버튼을 클릭하면 멀티미디어 데이터에 존재하는 음성을 들을 수 있다.

 

[그림 4]의 하단부분에 있는 Player 버튼을 클릭하면 [그림 5]와 같이 RTP Player가 실행됩니다. 음성을 듣기 위해 [그림 5]와 같이 먼저 Decode 버튼을 클릭해야 합니다. 그러면 Play 버튼이 활성화되고 클릭하면 음성 데이터를 확인할 수 있습니다. Play 버튼을 클릭 해보겠습니다.

 

[그림 5] [RTP Player] - [Decode]

[그림 6] 음성 데이터 확인

 

버튼을 클릭하면 음성 데이터가 존재하는 걸 알 수 있습니다. 2개의 음성 채널이 존재하는데 하단의 채널이 음성 데이터가 더 많은 것으로 보입니다. [그림 6]과 같이하단 음성 채널의 체크박스를 체크하면 Play 버튼이 활성화 됩니다. 그리고 Play 버튼을 누르면 Gregory를 죽인 범인이 누군지 알 수 있습니다.

 

음성을 들으면 포렌식 전문가에게 사건을 의뢰했던 Jack과 Victoria가 통화를 하는데 Jack은 Gregory를 죽인 사람으로 Victoria를 지목하고 흥분한 Victoria는 모두 죽이겠다고 합니다.

지금까지 문제 풀이를 통해 네트워크 패킷 분석에 대해서 알아보았습니다. 다음 포스팅에는 윈도우 포렌식과 관련하여 이전 포스팅에서 다룬 레지스트리 외에 시스템에 남는 아티팩트에 대해서 한번 알아 보겠습니다.