본문 바로가기

lingua/Computer

Network forensics

네트워크 포렌직은 오랜기간 동안 나를 괴롭혀 온 카테고리로,

네트워크에 대한 기본 지식 뿐만 아니라 다양한 분야 (악성코드, IDS, IPS, WAF 등)에 있어서도 찾아서 읽고 이해할 수 있는 능력이 필요하다는 것을 알고 있었지만, 올해는 더욱 더 체감하고 있다. 스터디를 하고 있는데, 내가 젤 진도가 더디다..

https://en.wikipedia.org/wiki/Network_forensics

 

Network forensics - Wikipedia

Network forensics is a sub-branch of digital forensics relating to the monitoring and analysis of computer network traffic for the purposes of information gathering, legal evidence, or intrusion detection.[1] Unlike other areas of digital forensics, networ

en.wikipedia.org

내가 처음 네트워크라는 단어를 접한 건 대학원 입학 때이다. 그 정도로 나는 IT와 가깝지 않게 지내는 일종의 "자연인"으로의 삶을 영위하고 있었는데, 이유는 아마도 나의 학부 전공이 수학이여서가 아닐까 싶다. 수학자로써 컴퓨터로 문제를 푸는 것은 아주 쉬운 행위에 속하며 쉬운 행위는 그냥 필요할 때 배우면 된다는 생각에 더욱 관심을 가지지 않았던 것 같다. 하지만 그 후로도 이런 배움의 부재로 인한 고생은 많았으나 역시나 이겨내는 건 그리 어렵지 않음이 분명했다 처음 생각했던 그대로. 본론으로 돌아와서, 그 당시에도 네트워크 관련 랩실에 들어가지 않으려 매우 애썻고, 성공했다(?). 동기 형 누나 들의 도움을 받아 시험공부를 하기도 했으며, 혼자 에이뿔이 나와 약간 혼났던 적도 있는데 그 것도 꽤 잼있었다.

출처: cioreview.com

- 처음 느낀 네트워크

사용 하는 도구로써 내가 굳이 손 댈 필요도 없고 이해할 필요도 없으니 공부할 필요가 있을리 없었던 학문. 물론 이런 사고에는 지나간 사수들과 교수님들의 코멘트도 꽤나 영향을 미쳤다. (직접적으로 필요없다라고 말 한 것을 들은 건 아니나 그냥 그렇게 느꼇다.) 예를 들면, 인터넷이 안되면 사람을 불러서 고치고, 원인이나 이런 부분을 따로 궁금해하지도 않았다.

 

- 필요로써의 네트워크

개발자 역할이 있을 때도 네트워크에 대해서는 크게 궁금해 하지 않았다. 문제가 생기는 경우가 매우 드물었으며, 그마저도 직접 고치지 않았기 때문이다. 소켓 프로그래밍이나 이런 부분은 레퍼런스가 잘 되어 있어 그런 부분을 활용하기에 크게 문제가 될 것이 없었다. 다만, 코드에 있는 반복되는 숫자들이나 형식에 대해서는 궁금하긴 했으나 딱 그 정도 까지였던 것 같다.

 

- 배움으로써의 네트워크

그런 내가 네트워크에 대한 이해가 필요를 더 크게 느끼게 된 건, 다양한 솔루션들을 다뤄보면서이다. 이게 무슨 말이냐면, 학생이나 개발자로 생활을 하면 사용하는 솔루션이 한정된다. (학생 때는 비주얼스튜디오와 메트랩, 개발자일 때는 비주얼스튜디오와 이클립스) 연차가 쌓여가고 종종 타 영역에서의 부름이 올 때마가 젤 선두에 서서 오던 놈이 바로 네트워크였는데 이놈을 언제까지나 무시할 수 없다는 생각에 올 초 스터디를 시작했으며 알지 못했던 부분이나 어렵지 않은 개념인데 어렵다고 지례 짐작해 쳐다도 안보던 녀석들을 꽤나 정성드려 파악했다. 

 

분석에 있어서 많이 사용하는 두 개의 사이트를 공유하도록 한다. 우선 패킷토탈의 경우는 실제 패킷에 대한 분석을 진행하기 전 분석 포인트를 알 수 있어서 매우 효율적인 접근을 가능하게 한다. (물론 모든 분석이 그렇듯 오탐은 존재한다. 그걸 파악하는 능력을 기르는 목적도 있는 스터디!) 분석 포인트에 있는 프레임에서 파일을 추출하여 하이브리드어날리시스에서 확인하면 보다 정확한 내용을 파악 할 수 있다. 이 두 가지 웹 사이트만 잘 활용해도 어느정도 패킷은 다 분석할 수 있을 것 같다.

 

Packettotal: 패킷을 업로드하면 해당 패킷에 대한 분석을 진행해준다. virustotal 만 알고 있었는데...

https://packettotal.com

 

PacketTotal - A free, online PCAP analysis engine

 

packettotal.com

Hybrid-analysis: 파일이나 URL에 대해 업로드 하면 분석을 진행해준다. 샌드박스 분석도 되며 무료로 사용가능하다.

https://www.hybrid-analysis.com

 

Free Automated Malware Analysis Service - powered by Falcon Sandbox

This is a free malware analysis service for the community that detects and analyzes unknown threats using a unique Hybrid Analysis technology. Here you can upload and share your file collections. Receive instant threat analysis using CrowdStrike Falcon Sta

www.hybrid-analysis.com

+ 패킷에 포함된 파일을 일일히 프레임을 따라다니며 뽑아내기에 힘이 드는 경우가 있는데, 이를 도와주는 프로그램이 있다. 바로 NetworkMiner이다. (무료버전과 유료버전이 있는데, 나는 무료만 써봤다. 무료로도 충분하다고 생각은 하나, 유료 사용 경험에 대해 공유 가능하신 분이 있다면 코멘트 부탁드립니다.) 윈도우 용 프로그램이며, 악성 패킷을 실행하게 되면 로컬에 설치된 안티 바이러스가 바로 쓩(?) 파일을 지워버려 동작을 안한다고 생각한 적도 있었다..ㅎㅎ (역시 네알못)

https://www.netresec.com/?page=networkminer

 

NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏

Network Miner is a network forensics tool for analyzing network traffic

www.netresec.com

 

!!!!!내용은 계속 추가될 예정이다. 지금도 스터디가 진행 중이라 이 부분은 언제든 볼 수 있는 사전 형태로 정리해 갈 계획이다.!!!!!