Project/Program

[adventofcyber2023] - Day_17_Traffic analysis I Tawt I Taw A C2 Tat!

choideu 2023. 12. 24. 09:54

Story: 보안운영센터는 진행 중인 상황을 효과적으로 관리하기 위해 이상 현상을 식별하고, 범위를 지정하고, 우선 순위를 지정하고 평가해야함. 이에 조사의 초기 경계와 범위를 설정하기 위해 타임라인을 만들려고 하는데.. 네트워크 트래픽 통계를 신속하게 확인해 진행해보자

 

목표: 네트워크 트래픽 데이터 형식에 대해 이해하기, 전체 패킷 캡쳐와 네트워크 흐름의 차이점 이해하기, 네트워크 흐름 데이터를 처리하는 방법 알아보기, SiLK 도구 모음 살펴보기, SiLK를 통해 네트워크 흐름 분석 해보기

 

1. 네트워크 트래픽 데이터 

- 오늘날 컴퓨터 세계에서 네트워크 통신과 트래픽은 아주 자연스러운 동작임

- 즉, 데이터 흐름은 네트워크 관리, 문제 해결, 사고 대응 및 위협 사냥 통찰력을 제공함

네트워크 관리 네트워크 성능을 모니터링하고, 대역폭 병목 현상을 식별하고, 리소스 할당 및 서비스 품질을 보장
문제 해결 네트워크 문제(대기 시간 및 연결 문제) 식별, 구성 구현 및 변경 사항 검증, 성능 기준 설정
사고 대응 사고 범위, 근본 원인 분석, 사고 및 일상 운영의 규정 준수 측면에 대한 평가
위협 사냥 의심스럽고 악의적인 패턴, 잠재적인 위협, 이상 징후 및 IoC에 대한 사전 분석 제공
행동 분석을 사용해 침입 및 내부 위협 탐지

- 네트워크 트래픽은 다양한 데이터 유형과 형식으로 제공되지만, pcap 형식이 가장 대표적

  • pcap 형식의 네트워크 트래픽은 세부적이고 raw한 포괄적인 보기를 제공하며 동시에 조사가능한 형식으로 패킷에 표된 가능한 모든 데이터를 제공함
  • 네트워크 트래픽에 대한 포괄적인 통찰력을 제공하기 위한 저장, 처리 및 분석 기능이 필요함
  • pcap은 상세한 분석에는 매우 유용하지만 실제 페이로드를 포함하기 때문에 빠른 분석 상황에는 맞지 않음 => 대량의 데이터 분석 시 문제가 됨

- network flow data는 pcap에 대한 간단한 대안으로 트래픽의 메타데이터 부분에 중점을 두고 트래픽의 "요약"만 제공함

특징 pcap network flow
model 패킷 캡쳐 프로토콜 흐름 기록
depth of information 1. 상세하고 세분화된 데이터(패킷 세부 정보 및 페이로드가 포함됨) 2. 요약 데이터(패킷 세부정보와 페이로드 포함되지 않음)
main purpose 심층 패킷 분석 트래픽 흐름 요약
장점 패킷 세부 정보에 대한 높은 가시성 제공 흐름은 패킷 페이로드를 사용하지 않으므로 암호화가 문제되지 않고, 전체적인 흐름에 대한 높은 수준의 요약을 제공함
단점 처리가 어렵고 저장 및 분석하는 데 시간과 리소스가 필요하며 암호화가 장애물임 페이로드 없이 요약만 제공
available fields layer header 및 payload data packet metadata

 

- pcap 형식의 주요 데이터 파일

  • 링크 레이어 정보
  • 타임스탬프
  • 패킷 길이
  • MAC 주소
  • IP 및 포트 정보
  • TCP/UDP 정보
  •  애플리케이션 계층 프로토콜 세부정보
  • 패킷 데이터 및 페이로드

- network flow 형식의 주요 데이터 필드

  • IP 및 포트 정보
    • 소스 및 대상 IP 주소
    • 소스 및 대상 포트
  • IP 프로토콜
  • 바이트 및 패킷 측정항목의 볼륨 세부정보
  • TCP 플래그
  • 시간 세부 정보
    • 시작 시간 / 지속 / 종료 시간
  • 센서 정보
  • 애플리케이션 계층 프로토콜 정보

2. 네트워크 데이터를 수집하고 처리하는 방법

- 일반적인 네트워크 데이터 수집 및 처리에는 네트워크 모니터링 및 분석 도구(wireshark, tcpdump, tshark)를 사용해 네트워크 트래픽에 대한 정보를 수집한 다음 해당 데이터를 분석하는 것임

 

3. SiLK

- SiLK(system for internet level knowledge) 도구 모음은 사용자가 네트워크 트래픽 데이터를 수집, 구문 분석, 필터링 및 분석할 수 있는 다양한 도구와 바이너리가 포함되어 있음

- 직접 흐름, pcap 파일 및 바이너리 흐름 데이터를 처리할 수 있음

- packing system과 analysis suite, 2개의 part로 구성됨

  • packing system : 여러 네트워크 흐름 유형(IPFIX, NetFlow v9 등)의 컬렉션을 지원하고 이를 바이너리 파일에 저장함
  • analysis suite : 네트워크 흘므 기록에 대한 다양한 작업(목록, 정렬, 개수 및 통계)을 수행하는 데 필요한 도구가 포함됨

4. SiLK 사용하기

1) 흐름 파일 읽기 : rwcut 

- 바이너리 흐름 기록을 읽고 사용자가 선택한 기록을 텍스트 형식으로 인쇄

2) 이벤트 필터링 : rwfilter

  • --proto : 프로토콜
  • --aport : 모든 포트
  • --sport : 소스 포트
  • --dport : 대상 포트
  • --any-address : 모든 IP 주소
  • -saddress : 소스 주소
  • -daddress : 목적지 주소
  •  --packets : 패킷 주
  • --bytes : 바이트 수

3) 통계 : rwstats