음 악성코드가 유포된 경로 등을 찾기위해 사용하는 툴들이 있음
xplico , network miner, sguil, wireshark 등등이 있음
근데 현재는 xplico, network miner , sguil 이 세게만 사용해보았음
트래픽 분석 프로세스를 보면
1. sguil에 패킷 던져서 src, dst 파악하고
2. network miner 로 해당 아이피 확인해서 대상자가 누군지, 맥주소는 무엇인지 등등 확인할 수 있음
//
추가적으로 xplico를 이용해서 방문했던 웹사이트 url을 통해 웹페이지 확인할 수 있음 ㅇㅇ
지금 예제 12,3, 번 풀어봤는데 이제 추후로 TrickBot malspam 내용 확인하면 될 거 같음
그리고 난독화된 자바스크립트 내용을
<script>
skasfljksdjgklsjgklsdjfgkljdsfklgjkl
document.write
<script/> 로 확인 가능하고 document.write 대신에 alert 을 통해서도 확인 할 수 있음
//
포트 번호 볼때 tcp 는 주로 6번을 이용하고 udp 는 17번을 이용함
오케이 끝
'개인공부 > Malware Analysis' 카테고리의 다른 글
| 윈도우 필수 프로세스 (0) | 2018.08.21 |
|---|