[GNS3]Beast2.07을 이용하여 VM을 해킹해보자! (2) -분석

저번 포스트에서 해킹당하는 것을 확인해 봤는데, 어떻게 이런 해킹이 이루어지는지 확인하고 분석 할 필요가 있다. 이미 Beast는 너무 유명한 일반적인 프로그램이라 뭘 하기에는 힘들고. 그냥 공부 용도로 사용 하자.

공부용도로 사용을 하려면 분석하는게 좋다. 

GNS3의 네트워크 환경은 이렇다.

먼저 win7-1 (1.221.80.14)가 피해자 PC이고

win7_2-1(1.221.80.13)이 공격자 PC이다. 어떻게 공격하는지는 저번 포스팅에 나와있으니 확인 바란다.

일단 기본적으로 해킹에 대한 모든 정보는 네트워크로 지나갈 것이고 이것을 패킷을 통해 확인 할 수 있다.

희생자 PC와 공격자 PC 사이에 아무런 선에 오른쪽 클릭을 하여 와이어 샤크를 확인해보자. 

캡쳐를 시작하고 Beast를 연결하면 다음과 같은 패킷이 검출된다.

희생자 PC에서 공격자 PC로 많은 연결 (아직 끊어지지 않았다)이 성립된 것을 볼 수 있다.

말그대로 이 공격은 희생자 PC를 감염시켜서 의도적으로 포트를 연 뒤에, 그 공간으로 침입하여 공격하는

백도어 공격이라고 할 수 있다. 지금도 내가 글 쓰는 이 순간에도 내가 감염됬다면 해커는 내가 글을 쓰는것을 볼수 있다. 심지어 키로거도 다 떠서 어떤 사이트에 어떤 아이디와 비밀번호로 접속하는지도 모두 해킹 당할 수 있다.

그렇다면 해커가 아무런 공격을 하지 않았을때 나는 어떻게 공격당했는지를 확인 할 수 있는가?

당연히 백도어 공격이므로 해커를 위한 포트가 열렸을 것이다. 이것을 확인하기 위해서는

CMD 창을 열고 netstat -an 을 입력해보자.

그러면 위와 같이 1.221.80.13:139 /6667 / 6669/ 6671/ 6672가 

외부주소 1.221.80.14로 열려있고 아직 연결이 끊기지 않은 상태인걸 볼 수 있다. 

이 처럼 아무런 설정없이 바로 감염시키면 자신의 IP가 노출되어 잡힐 수 있다.

실제로 이 방법을 해킹에 사용한다면 저기에 찍히는 IP로 잡힐 수 있다는 것이다. 

이렇게 연결된 포트에 대해서도 확인이 가능하고 프로세스로 확인하는 방법도 있다.

ctrl+art+delete를 누르면 나오는 작업관리자에서 프로세스를 확인하면 이상한 점을 발견할 수 있다

svchost.exe 는 연결된 호스트에 대해 나타나는데 사용자 이름이 j라고 나와있다. 

j는 실제로 해커pc의 사용자 이름이다. 희생자의 PC에 프로세스를 심어서 사용자 몰래 실행되는 것이다.

이 처럼 백도어 공격은 이러한 방식으로 진행이 된다. 

현재는 특별한 추가 기술이 없으면 백신으로 쉽게 발견이 된다.