HeeJ's

패킷을 살펴보다 보면 www.premierpt.co.uk/footage.php도메인을 찾을 수 있다. 위의 .php로 끝나는 악성 wrod문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 필터링의 내용은 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷들을 찾아주었다. Length가 582인 패킷의 HTTP stream을 따라가보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. base64 텍스트가 끝나는 지점에 '0202_10846666250132.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이 작업이 끝나면 url은 http://www.docusign.com/?dow..

표준 웹 필터를 사용하여 필터링을 해주었다. 패킷들을 하나씩 살펴보다 보면 www.nuicala.inspia.net/mars.php 도메인을 찾을 수 있었다. 위의 .php로 끝나는 악성 word 문서를 제공하는 URL을 찾기 위해 필터링을 진행하였다. 이는 HTTP GET 요청을 보내며 .php로 끝나는 도메인에 대한 패킷이다. 필터링 된 두 개의 패킷 중, 아래 패킷이 조금 더 의심스러워 HTTP Stream을 따라가 보았다. saveAs에 대한 스크립트 함수 직후, 많은 양의 base64 텍스트를 확인했다. 이는 word 문서에 대한 악의적인 행동이라고 볼 수 있다. 많은 양의 base64 텍스트를 지나고 나면, '0125_206410993.doc'라는 파일을 저장하도록 하는 스크립트가 있다. 이는..

두 번째 pcap에서도 첫 번째 pcap 파일처럼 HTTP GET 요청에서 docs.google.com의 링크를 확인할 수 있다. b2b.ebike-your-life.com 사이트의 HTML 페이지를 확인하여 웹 브라우저에서 열어 취약한 워드 파일을 얻을 수 있다. (http.request.uri contains "/8/forum.php") or (http.host.contains api.ipify.org) http.request.uri contains "/8/forum.php" -> 문서를 얻은 php페이지를 찾기위해 /8/forum.php를 포함하는 요청 uri확인 http.host contains api.ipify.org -> Ficker Stealer에 대한 exe는 자체적으로 악성이 아닌 api..

실습 진행 환경 KaliLnux 2021.1 http.request or tls.handshake == 1 http.request -> http 요청에 대한 URL tls.handshake == 1 -> 클라이언트가 서버에 전송하는 Client Hello 메시지, 데이터 전송이 시작될 때 맨 처음에 보내는 메시지 !(SSDP) !(udp.port == 1900)과 같은 의미이다. 트래픽에서 정상적인 활동 중 UDP 포트 1900을 이용한 HTTP 요청이 포함된다. UDP 포트 1900을 통한 HTTP 트래픽을 SSDP라고 부른다. (네트워크 서비스나 정보를 찾기 위해 사용하는 네트워크 프로토콜, 네트워크에서 다른 기기를 찾기 위한 UDP 기반 프로토콜) SSDP는 PnP(Plug n Play)장치를 검색..

Channitor라고도 불리는 Hancitor는 MAN1, Moskalzapoe 또는 TA511을 가리키는 위협 요인을 사용한 멜웨어이다. 윈도우 호스트를 타겟으로 공격하고, 추가적인 멜웨어를 전송하는 중요한 접근을 설립한다. Hancitor Malware 공격 벡터 중 하나로, 피해자로부터 데이터를 훔치기 위해 맬웨어를 전달한다. 이는 흔하게 사용되지 않는 API 남용 및 PowerShell 메소드를 포함한다. Hancitor는 이메일을 통해 분산된다. 이메일에는 docs.google.com과 같은 구글 드라이브 URL을 HTTPS 링크로 포함한다. HTTPS로 접속할 때는 TCP Three-way handshake와 별도로 TLS handshake 과정을 거친다. TLS handshake에 대한 설명..