침해사고가 발생한 컴퓨터를 원격을 통해 검사 및 정보, 디스크 수집


이번 포스팅은 이전 포스팅으로 침해사고를 일으킨 서버를 대상으로 실습을 합니다.
fire-0.3.5b를 쓸 예정이며 fire는 포렌식에서 오래된 도구라고하는데 필자도 자세한 것은 잘 모르겠다. 
잘 아시는 분이 계시다면 알려주시면 감사하겠다. 





여기서 가상머신은 피해자 컴퓨터가 될 것이고 리얼머신은 피해자 컴퓨터의 정보를 가져오게 되는 분석자 컴퓨터가 된다.



먼저 vm에서 fire-0.3.5b.iso파일을 삽입한다.


가상머신으로 돌아와서 mount를 해준다.
mount /dev/cdrom media/cdrecorder/
여기서 잘 안될 가능성이 있는데.. 막 어떻게 하다보면 된다... 무책임한 소리지만 어쩌다보니 되었다.





위의 경로로 가면 파일이 있는 것을 확인 할 수 있다.




리얼머신으로 돌아와 nc를 통하여 포트를 오픈해두고 sh.IR로 값을 저장할 수 있도록 한다.




마지막에 있는 명령어를 입력하면 kk라고 입력한 곳 위까지 출력된다.
마지막 입력에 -w는 3초동안 응답이 없으면 timeout시키는 nc 명령어이다.



리얼머신에 nc를 보면 연결이 되었고 받은 것을 볼 수 있다.




nc가 있는 폴더로 가면 sh.IR 파일이 있고 열면 피해자 컴퓨터의 정보를 가져오는 것을 볼 수 있다.







이번에는 피해자 컴퓨터에 루트킷이 적용되었는지 검사해볼 것이다. 
위의 경로로 들어가보자.




그리고 리얼머신으로 돌아가 위의 명령어를 입력해주자
nc.exe -lvvp 4444 > rootkit.IR




그리고 가상머신으로 돌아와서 위의 명령어를 입력해준다.
./chkrootkit | ../linux2.2_x86/nc -n 192.168.56.1 4444 -w 3
chkrookit으로 검사한 결과를 nc를 통해 리얼머신으로 보내는 명령어이다.




가상머신에서 전송이 다됐을 때 결과이다.




리얼머신에서 보면 또 결과를 받은 것을 확인할 수 있다.




nc폴더에 rootkit.IR 파일을 열어보면 루트킷 체크를 한 것을 볼 수 있다.






이번에는 원격으로 덤프뜨는 것을 할것이다. 덤프에는 dd를 사용한다.
먼저 전송을 위하여 리얼머신에서 포트를 열어두고 disk.dd로 저장할 준비를 한다. 




위의 경로로가면 dd명령어가 있다. 위의 경로로 간다.




cat /etc/fstab
위에서 3번째 줄에 있는 /dev/VolGroup00/LogVol00를 복사한다.





./dd if=/dev/VolGroup00/LogVol00 bs=1024 | nc -n 192.168.56.1 4444 -w 3
bs는 한번에 읽어들일 바이트량을 표시하며 -n은 호스트와 포트를 숫자로만 받는다.




리얼머신에서 연결이 된 것을 확인 할 수 있다.
위의 상태에서 오래 진행된다.
c,c ls는 없어도 된다. 필자가 잘못 입력한 것이다. 



nc폴더에 도면 disk.dd가 생긴 것을 볼 수 있고 용량이 계속~계속~ 커가는 것을 볼 수 있다.
후에 이 파일을 가지고 분석하거나 복구하면 되겠다.




우리가 이번 포스팅을 통하여 했던 일련의 과정들을 간단히 해주는 툴이 있는데 그 툴은 autospy이다.
autospy는 FTK와 Encase를 적당히 가져온 툴로써 무료이다. 하지만 한국어를 지원하지 않는다.
autospy는 해부라는 의미를 가지고 있으며 구글에서 검색하여 이미지로 보면 상당히 혐오스러울수 있으니
절대로 누르지말고 바로 링크타고 들어가서 다운받도록하자. 


침해사고는 언제 어디서 발생할지 모른다.
 만약 침해사고가 발생한 컴퓨터가 원거리에 있으면 직접가서 조치하기가 어렵다. 그러므로 원격으로
빨리 정보를 수집하는 방법도 좋은 방법이라 생각된다. 
침해사고를 대응하려면 여러가지 방법을 알아두고 숙달해야 할 필요성이 느껴진다.


+ Recent posts