실습파일


Chapter_3L.zip



실습 3-1

기초 동적 분석 도구를 이용해 Lab03-01.exe 파일에서 발견된 악성코드를 분석하라.

1. 악성코드의 임포트 함수와 문자열은 무엇인가?


2 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?


3. 악성코드를 인식할 수 있는 유용한 네트워크 기반의 시그니처가 존재하는가? 있다면 무엇인가?


실습 3-2

1. 악성코드 자체가 어떻게 설치됐는가?


2. 설치 후 악성코드를 어떻게 실행할 수 있는가?


3. 악성코드가 동작할 때 어떤 프로세스를 발견할 수 있는가?


4. 정보를 수집하는 ProcMon을 사용하기 위해 어떤 필터를 설정했는가?


5. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?


6. 악성코드에서 유용한 네트워크 기반 시그니처가 존재하는가?


실습 3-3 

1. Process Explorer로 이 악성코드를 모니터링 했을 때 무엇을 알아냈는가?


2. 실시간 메모리 변조를 확인할 수 있는가?


3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가?


4. 이 프로그램의 목적은 무엇인가?


실습 3-4

1. 이 파일을 실행했을 때 어떤 일이 발생했는가?


2. 동 적 분석 시 장애물이 무엇인가?


3. 이 파일을 실행시키는 다른 방법이 있는가?


윈도우 XP 기술지원이 향후 6개월 여 이내에 종료됨에 따라 이를 악용하는 악성코드가 지속적으로 사용자의 위협으로 크게 다가올 것으로 예상된다. 힘들겠지만, 어렵겠지만, OS의 상위 버전으로의 업그레이드가 시급한 상황이다.


http://www.ajunews.com/view/20131202110751425

요거요거, 재주꾼 이었구만! 


INetSim: Internet Services Simulation Suite

INetSim: Internet Services Simulation Suite

The following is a sample installation of InetSim on BackTrack5

1. Pre-requisites
Install few Perl Modules as follows
perl -MCPAN -e shell
cpan[1]> install Net::Server
cpan[1]> install Net:DNS
cpan[1]> install IPC::Shareable
cpan[1]> install Digest::SHA IO::Socket::SSL 
cpan[1]> exit

Download InetSim
http://www.inetsim.org/downloads/inetsim-1.2.3.tar.gz

# tar xvf inetsim-1.2.3.tar.gz


# cd inetsim-1.2.3

# groupadd inetsim

# ./setup.sh 

By default it runs on localhost (127.0.0.1) 
This can be changed inside the config file.
#vim conf/inetsim.conf

Like following
#########################################
# service_bind_address
#
# IP address to bind services to
#
# Syntax: service_bind_address <IP address>
#
# Default: 127.0.0.1
#
#service_bind_address   10.10.10.1
service_bind_address    172.16.143.1
#########################################
#########################################
# dns_default_ip
#
# Default IP address to return with DNS replies
#
# Syntax: dns_default_ip <IP address>
#
# Default: 127.0.0.1
#
#dns_default_ip         10.10.10.1
dns_default_ip          172.161.143.1
#########################################


GNS3, VMWare 을 이용해서 드디어 포트 미러를 통해서 snort IDS 구성할 수 있게 되었다.

일단 Snort 전까지 환경 구성은 완료, 정리는 내일 다시 ㄱㄱ


1. GNS3를 이용해서 아래와 같이 Map을 구성 한다.



2. VMWare 역시 3개 (Windows XP SP3 2대, BackTrack5 1대) 역시 Host-Only로 각자 사설 네트워크 대역으로 설정한 후, IP 세팅까지 완료 한다.

 - SW f0/0 - Attacker Vmware Net1 (192.168.100.0/24) 실제 Attacker IP는 192.168.100.57

 - SW f0/1 - Victim Vmware Net2 (192.168.200.0/24) 실제 Victim IP는 192.168.200.60

 - SW f0/2 - IDS Vmware Net3 (192.168.150.0/24) 실제 IDS IP는 192.168.150.56


  1) VMWare 화면에서 Virtual Network Editor를 실행 후에 아래와 같이 설정한다.


[VMWare의 Virutal Network Editor]



  2) 각 가상 OS의 Virtual Machine Settings에서도 Network Adapter를 각 Host-Only 시 설정 후, 생성된 Network Adpater로 설정한다.


 

[VMWare의 각 OS의 Virtual Machine Settings 화면]

  3)  GNS3에서 SW와 연결 시에는 VM의 Host Network Adapter를 선택하도록 한다.

   

[GNS3에서 PC의 Network Adapter 설정 화면]

 

3. GNS3에서 Start를 통해 모든 디바이스들을 On 시킨다.



4. Switch에 콘솔로 접속한 후, vlan 10, 20, 30을 생성 한다.



5. 이후 IDS 쪽에 포트 미러링을 위해 아래와 같이 작업을 진행한다.



- f0/0 Attacker Port에서 f0/2, 즉 IDS로 미러를 설정한다. 


6. 5까지 작업 완료하였으면, Attacker에서 Victim까지 통신 (Ping) 되는지 확인

  1) Attacker (100.57) 에서 Victim (200.60) 통신

   


  2) Victim (200.60) 에서 Attacker (100.57) 통신




7. IDS에서 해당 통신 과정이 Capture 되는지 확인 




+ Recent posts

티스토리툴바