반응형
LIST
와이어샤크 : 패킷(*Packet) 분석할 때 활용.
*Packet: 데이터의 전송단위, OSI 7 계층 중 3층(Network Layer)에 속하는 패킷.
* 네트워크 행위가 어떤식으로 이루어지는지를 정확히 알아야 한다.
1. TCP 연결 통신은 3-way handshake 방식으로 이루어진다.
2. 연결이 성립되면 Client는 서버에서 http를 요청하며 서버는 text나 html형식으로 전송한다.
* 만약에 악성코드라면, 와이어샤크에서 어떤 식으로 포착되는가?
1. 비정상적인 패킷 포착 (SYN->SYN+ACK->ACK: 정상통신과정)에서 SYN만 포착.
2. GET 메소드를 이용하여 방문하지 않은 악성 사이트에 접속한다.
3. 3-way handshake에서 sequence패킷 번호를 조작한다.
* 결론
통신의 시작은 syn요청에 의해 시작되고 연결이 성립되는 과정: 3-way handshake가 정상적으로 일어나는지를 확인. YES/NO
YES: 악성코드가 실제로 동작을 하지 않을 가능성이 있기 때문에 그 외 동작이 없을 수도 있음.
- 해당 악성의심 사이트에서 뭔가 받아오는 동작을 할때 get 메소드를 통한 통신이 시작됨.
NO: 악성코드.
현재상황, 네트워크 행위하는 악성코드를 일단 못찾음...(20.07.31)
<20/07/31 찾아서 분석중>
반응형
LIST
'보안' 카테고리의 다른 글
| [악성코드분석] 네트워크 행위를 하는 악성코드 분석 최종. (0) | 2021.06.09 |
|---|---|
| [악성코드분석] 네트워크 행위를 하는 악성코드 분석_DicterSetup3.76.0.62.exe (0) | 2021.06.09 |
| [악성코드분석] TCP 3way handshake (0) | 2021.06.09 |
| [악성코드분석] WireShark를 이용한 패킷 분석-1_20.07.15 (0) | 2021.06.09 |
| [악성코드분석] Wireshark 이용 분석. (0) | 2021.06.09 |
댓글