[Cresendo] Network Problem 01

#About

당신은 S기업의 보안 담당자이다.

당신은 몇 일 전 방화벽에서 이상징후를 발견하였고, 방화벽에 기록된 패킷 덤프 파일을 통하여 해당 이상징후의 내용을 판별해 내야 한다

당신은 이 패킷 덤프파일을 통하여, 이상징후의 발생원인(공격기법)과 이상징후를 발생시킨 원인 PC(공격자 PC)의 IP Address와 Mac Address를 파악하라.

(인증형식은 공격기법_IP_MAC)

플래그의 공백은 제외한다.

MAC 주소는 콜론(:)을 제외한다.

---

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공받은 약 406MB의 패킷 덤프 파일을 확인했으며 와이어샤크로 열었을 때, 위와 같이 여러개의 프로토콜을 확인할 수 있다

총 347,370개의 패킷을 일일이 분석하는 것은 비효율적인것이 분명하므로 일반적으로 공격이 일어날 확률이 높은 공격기법을 먼저 생각해 보았다

가장 먼저 떠오른 것들은 ARP SPOOFING과 DNS SPOOFING이 떠올랐고 먼저분석 할 ARP Protocol을 필터링을 통해 ARP Protocol만 확인할 수 있었다

[그림 2] - ARP Protocol

위의 그림을 살펴보면 IP 주소 192.168.208.2가 할당되어있는 PC의 MAC 주소가 누구인지 192.168.208.1에게 응답 해달라는 

ARP 패킷을 다량보내고 있음을 확인할 수 있고 아래로 내리면서 확인하다보면 MAC Address에 맵핑되는 IP주소를 확인할 수 있다

00:0c:29:c0:00:08 = 192.168.208.1

00:0c:29:eb:04:7e = 192.168.208.2

00:0c:29:a5:33:5c = 192.168.208.129

00:0c:29:84:50:ab = 192.168.208.140

00:0c:29:e0:16:e3 = 192.168.208.152

00:0c:29:fe:bd:f9 = 192.168.208.254

[그림 3] - ARP SPOOFING 흔적 발견

패킷을 보다보면 패킷 번호 63480번에서, 192.168.208.140과 맵핑되는 MAC Address는 00:0c:29:84:50:ab임에도 불구하고 

192.168.208.129와 맵핑되는 MAC Address인 00:0c:29:a5:33:5c을 192.168.208.254를 가지는 00:0c:29:fe:bd:f9에게 응답 패킷을 전송하고 있다

이는 다시말해, 192.168.208.129의 PC의 사용자가 192.168.209.254의 PC에게 자신이 192.168.208.140의 PC 사용자라고 속이고 있으며 

바로 이 공격 기법이 ARP SPOOFING에 해당한다

Answer = ARPSPOOFING_192.168.208.129_000C29A5335C

---

[ + ] TIP

ARP SPOOFING의 흔적이 있는 패킷을 조금 더 효율성 있게 찾기 위해서는 위의 풀이 과정과는 달리, 필터링 기능을 더욱 잘 이용하면 된다

APR SPOOFING의 흔적을 찾기 위한 필터링 값을 입력해주는 방법으로는 먼저 게이트웨이의 IP와 MAC Address를 알아두어야한다

게이트웨이 IP는 일반적으로 First or Last로 네트워크 대역의 첫 번째 시작 IP 또는 마지막 IP에 할당하므로 그에 맞는 MAC Address를 찾는다

그 후 !eth.addr==[MAC Address] && arp라는 필터식을 이용하면, 게이트웨이의 MAC Address를 변조하려는 스푸핑 패킷만을 조금 더 빠르게 찾을 수 있으며

패킷을 확인 후에 eth.addr==[변조 된 MAC Address] && arp 필터식을 이용하면 게이트웨이의 MAC Address를 변조하는 패킷만 확인할 수 있다