JD Securtiry Expert

와이어샤크 WhireShark 란?

초창기에는 ' Ethereal '이라는 이름으로 나왔다가

이후 상표 문제로 ' Wireshark '로 바뀌게 되었습니다.

와이어 샤크는 네트워크 패킷을 캡처하고 분석하는 패킷을 분석하는 프로그램입니다.

와이어 샤크는 현재 통신 중인, 실제 흘러가고 있는 데이터,

패킷을 캡처하여 데이터의 흐름을 살펴볼때 사용하는 분석 프로그램입니다.

즉, 내가 보내거나 받는 데이터가 케이블을 타고 흘러갈 때

그 내용을 찍어서 분석하고 알아본다는 이야기입니다.

패킷이 무엇일까요?

아래 글을 읽어주세요!

https://jdcyber.tistory.com/12

주로 네트워크 문제를 조사하거나

좀처럼 원인을 찾기 힘든 네트워크에 대한 트러블

(장애)을 해결할 때 사용됩니다.

강력하고 쉬운 사용법 때문에 해킹뿐만 아니라

보안 취약점 분석, 보안 컨설팅, 개인정보 영향 평가 등

여러 분야에서 폭넓게 사용되고 있으며 특히 교육용으로 널리 사용되고 있습니다.

주요기능

응? 뭐라고요?

 

PC로 홈페이지를 보거나 이메일을 보낼 때에

전송되는 데이터는 실제로는 LAN 케이블을 통해 전기 신호 형태로 바뀌어 흐르게 됩니다.

와이어 샤크 (LAN 분석기)는 LAN 케이블을 지나는

전기 신호를 데이터를 패킷 형태로 가져와서 패킷의 의미를 조사할 수 있기 때문에,

나의 컴퓨터와 네트워크 사이 케이블 속을 지나다니는 내용/정보 들을 살펴보고 직접 확인해 볼 수 있습니다.

LAN 케이블을 지나는 전기신호를 데이터 형태로 가져오는 것을 패킷 캡처라고 하고,

가져온 패킷의 의미를 조사하는 것은 덤프 분석이라고 합니다

와이어샤크 설치

아래 사이트에 접속하신 후

stable release에서 운영체제에 맞는 것을 설치합니다.

https://www.wireshark.org/download.html

다음 쭉 눌러서 설치하시는데

아래 체크박스는 꼭 해주세요

pcap를 이용해서 패킷을 캡쳐하기 때문에 반드시 설치해야합니다.

(WinPcap도 설치해주세요)

와이어 샤크의 필터 검색 방법 및 세부 내용은

다음 글에서 연습해 보도록 하겠습니다.

https://jdcyber.tistory.com/9

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

와이어샤크란?

오늘은 와이어샤크 사용법에 대해 간단히 알아보겠습니다.

그전에 혹시 와이어샤크에 대해 모르시는 분들은

와이어샤크의 개념과 설치법도 함께 적어놨으니

아래 글을 읽어보고 와주시길 바랍니다

https://jdcyber.tistory.com/10

와이어 샤크 사용법

와이어 샤크를 실행하시면 아래와 같은 창이 뜨실겁니다.

Capture라고 쓰여있는 곳 아래는

제 화면과 다르게 뜨실 수도 있는데

저곳에 떠있는 내용들은 와이어샤크가

자동으로 찾아준 현재 사용하고 계시는 네트워크를 표시하고 있는 것이니

저와 다르시더라도 걱정하지 마시기 바랍니다.

저곳에서 살펴보고 싶은 네트워크를 선택하고

상단 왼쪽에 상어 지느러미를 클릭해 주세요

(이러한 행위를 와이어샤크에서 네트워크를 캡처했다고 부릅니다.)

캡처 (Capture)

와이어샤크에서 네트워크를 캡처하기 시작하면

해당 네트워크에서 오고 가는

패킷들이 보이기 시작합니다.

패킷이 아직 뭔지 모르신다면

아래 글을 읽어주세요!

https://jdcyber.tistory.com/12?category=1076407

위 사진이 현재 컴퓨터가 네트워크를 통해 쪼개진 데이터 즉 패킷을 주고받는 모습입니다.

(아래 메뉴 및 카테고리 설명은 중요한 내용이 아닙니다)

상단에 메뉴를 먼저 살펴보겠습니다.

그 아래 있는 카테고리를 한번 살펴보도록 하겠습니다

필터 (Filter)

와이어 샤크를 실행하고 배우는 이유는

어떠한 네트워크 상의 문제나 특정 데이터의 흐름을 찾아보고 싶어서 실행한 거잖아요?

그런데 네트워크 상의 모든 내용을 캡처하면 내가 보고 싶은 데이터를 보기가 어려울 수 있습니다.

이때 필요한 기능이 바로 필터라는 것입니다.

패킷 필터를 적용하는 것을 패킷 필터링이라고 부릅니다

(어떻게 부르던 자유니 외우시거나 할 필요는 없습니다)

캡처 방법에는 2가지가 있는데,

원하는 내용만 처음부터 캡처하는 캡처 필터 (Capture Filter)와

전체를 캡처하고 필터를 걸어 검색하는 디스플레이 캡처 (Display Filter)가 있습니다.

우리는 캡처 필터는 사용하지 않겠습니다.

위 방법들이 크게 중요하지도 않고

디스플레이 캡처만 알고 계셔도 됩니다

이런 방법이 있구나 알고만 넘어갑시다.

프로토콜 (Protocol) 별 필터 검색

프로토콜로 데이터를 검색하는 방법입니다.

논리 연산자 필터 검색

쉽게 알려주세요

지금 우리가 원하는 건 지금 위의 내용이 아니라

데이터의 흐름을 직접 검색해서 보고 싶어요

그래서 어떻게 하는건가요??

정말 쉬운 예시 하나로 같이 살펴볼게요!

CMD 프롬프트 혹은 터미널 Terminal에서

nslookup www.naver.com를 한번 쳐봅시다

아이피가 23.35.221.113이네요?

(아이피는 계속 달라지니 직접 nslookup 해보시고 시도해 주세요)

아이피를 알아냈으니 와이어샤크로 검색해 봅시다

위에 논리연산자라고 적어놓은 것 중에 IP 필터라고 있죠?

그걸 앞에 입력하고 위와 같이 입력해 봅시다.

ip.addr == 23.35.221.113

(nslookup에 나온 ip를 치시면 됩니다)

필터를 검색하면 해당 아이피와 통신했던 데이터 패킷만 출력되게 됩니다.

저희가 검색한 패킷에서 Three Way Hand Shake을

한번 찾아볼까요?

3-Way Hand Shake가 뭔지 모르신다면

아래 글을 읽어봐주세요!

(작성 중)

위 사진을 보면 오른쪽에 SYN과 ACK를 주고받으며

3-way hand shake를 수행하여 신뢰관계를 맺은 데이터의 흐름을 확인할 수 있습니다.

와이어샤크는 얼마나 필터 검색을 잘 하느냐에 따라 전문가와 비전문가로 결정됩니다.

많은 데이터 검색을 해보시고 연산자를 조합해서 원하는 데이터를 검색해낼 수 있다면

성공적인 와이어샤크 전문가가 되실 것입니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

오늘은 Windows 운영 체제에서 가장 중요한

파일 형식인 Portable Executable(PE)에 대해 이야기하려 합니다.

PE 파일은 .exe, .dll, .sys 등과 같이 실행 가능한 파일들을 가리키며,

이 파일들 간의 복잡한 의존성을 분석하는 것은 소프트웨어 개발과 보안 분석에 있어 매우 중요합니다.

이번 포스팅에서는 PE 파일의 Import Table, Export Table, 그리고 Import Address Table(IAT)을 이용해서

의존성을 분석하고, 이를 그래프로 시각화하는 방법을 소개하겠습니다.

Import table과 export table 그리고 iat의 차이점

Import Table, Export Table,

그리고 Import Address Table (IAT)은

모두 Portable Executable (PE) 파일 형식의 구성요소입니다.

각 테이블이 나타내는 정보가 다르므로 각각의 목적과 기능을 이해하는 것이 중요합니다.

Import Table이란?

이 테이블은 PE 파일이 실행되기 위해 필요한

외부 라이브러리(DLL 파일)들의 정보를 담고 있습니다.

Import Table에는 각 DLL 파일의 이름과 해당 DLL에서 호출할 함수들의 목록이 포함되어 있습니다.

즉, 이 PE 파일이 실행되기 위해 어떤 외부 DLL에 의존하는지,

그리고 그 DLL에서 어떤 함수들을 사용하는지를 알려주는 테이블입니다.

Export Table이란?

이 테이블은 DLL 파일이 외부에 제공하는 함수나

변수의 정보를 담고 있습니다.

DLL 파일은 여러 개의 PE 파일에서 공유하여

사용할 수 있는 라이브러리로서,

그 안에 정의된 여러 함수들을 외부에 제공합니다.

Export Table은 이러한 함수들의 목록과

그 함수들의 주소 정보를 제공합니다.

따라서, 다른 PE 파일들이 이 DLL 파일을 어떻게

활용할 수 있는지를 알려주는 테이블입니다.

Import Address Table (IAT)이란?

이 테이블은 PE 파일이 Import Table을 통해 가져온 외부 함수들의 주소를 저장하는 곳입니다.

즉, Import Table에서 나열한 각 함수에 대한 실제 메모리 주소를 가지고 있습니다.

PE 파일이 실행되면, 로더는 이 IAT를 채워 넣어서, PE 파일이 각 함수를 호출할 때 메모리에서 바로 찾을 수 있도록 합니다.

Import Table은 '무엇'이 필요한지(어떤 DLL과 함수들이 필요한지),

Export Table은 '무엇'을 제공하는지(어떤 함수와 변수들을 제공하는지),

IAT는 '어디에' 있는지(각 함수의 메모리 주소는 어디인지)를 나타냅니다.

이 세 가지 테이블은 PE 파일이 외부 라이브러리와 어떻게 상호작용하는지를 이해하는데 중요한 역할을 합니다.

PE 파일 의존성 그래프 생성

필요한 라이브러리 이 작업을 수행하기 위해 pefile과 networkx라는 두 가지 파이썬 라이브러리를 사용하겠습니다.

pefile은 PE 파일을 분석하고 파싱하는데 필요한 라이브러리이며,

networkx는 그래프를 생성하고 시각화하는데 사용됩니다.

먼저, 주어진 디렉토리에서 모든 PE 파일을 찾고 이들을 파싱하여 그래프의 노드로 추가합니다.

그런 다음 각 PE 파일의 Import Table을 분석하여 필요한 DLL을 그래프에 추가하고,

이들 사이의 의존성을 간선으로 표현합니다.

PE 파일 의존성 그래프 업데이트 그 다음 단계에서는 모든 PE 파일의 Export Table을 분석합니다.

이를 통해 각 DLL이 제공하는 함수를 알 수 있습니다.

이 함수들을 사용하는 다른 PE 파일을 찾아 그래프에 의존성을 추가합니다.

IAT 정보 출력 마지막으로, 각 PE 파일의 Import Address Table(IAT)를 분석하여

각 함수가 실제로 어떤 메모리 주소에서 호출되는지를 출력합니다.

그래프 시각화 모든 정보를 바탕으로 그래프를 생성한 후에는

networkx와 matplotlib를 이용해서 그래프를 시각화합니다.

이를 통해 각 PE 파일 간의 복잡한 의존성을 한눈에 확인할 수 있습니다.

(아래는 예시 코드입니다)

import os
import pefile
import networkx as nx
import matplotlib.pyplot as plt

def create_dependency_graph(directory):
    G = nx.DiGraph()

    pe_files = {}

    # 모든 PE 파일을 파싱한다.
    for filename in os.listdir(directory):
        filepath = os.path.join(directory, filename)

        # PE 파일이 아닌 경우 건너뛴다.
        if not pefile.isPE(filepath):
            continue

        pe = pefile.PE(filepath)

        # 파싱한 PE 파일을 저장한다.
        pe_files[filename] = pe

        # 현재 파일 노드를 그래프에 추가
        G.add_node(filename)

    # 모든 PE 파일의 Import 정보를 통해 그래프를 만든다.
    for filename, pe in pe_files.items():
        if hasattr(pe, "DIRECTORY_ENTRY_IMPORT"):
            for entry in pe.DIRECTORY_ENTRY_IMPORT:
                dll_name = entry.dll.decode('utf-8')

                G.add_node(dll_name)
                G.add_edge(filename, dll_name)  # 현재 파일에서 DLL로 의존성 표시

                # IAT 정보를 출력한다.
                for imp in entry.imports:
                    print(f'{filename} imports function {imp.name} from {dll_name} at address {hex(imp.address)}')

    # 모든 PE 파일의 Export 정보를 통해 그래프를 업데이트한다.
    for filename, pe in pe_files.items():
        if hasattr(pe, "DIRECTORY_ENTRY_EXPORT"):
            for exp in pe.DIRECTORY_ENTRY_EXPORT.symbols:
                # 해당 PE 파일이 export하는 함수를 사용하는 다른 PE 파일을 찾는다.
                for user_filename, user_pe in pe_files.items():
                    if hasattr(user_pe, "DIRECTORY_ENTRY_IMPORT"):
                        for entry in user_pe.DIRECTORY_ENTRY_IMPORT:
                            if entry.dll.decode('utf-8') == filename:
                                for imp in entry.imports:
                                    if imp.name == exp.name:
                                        G.add_edge(user_filename, filename)  # 다른 파일에서 현재 파일로 의존성 표시

    return G

# 디렉토리 지정 (PE 파일들이 위치한 디렉토리를 지정해야 함)
directory = './PE_files_directory'  
G = create_dependency_graph(directory)

# 그래프를 그림
nx.draw(G, with_labels=True)
plt.show()

정리

이 포스트에서는 PE 파일의 Import Table, Export Table,

그리고 IAT를 이용해 PE 파일 간의 의존성을 분석하고 시각화하는 방법을 살펴봤습니다.

다시 한번 정리해보면,

Import Table은 '무엇'이 필요한지

(어떤 DLL과 함수들이 필요한지)

Export Table은 '무엇'을 제공하는지

(어떤 함수와 변수들을 제공하는지),

IAT는 '어디에' 있는지

(각 함수의 메모리 주소는 어디인지)

이 방법을 통해 복잡한 소프트웨어 시스템의 구조를 이해하고, 문제를 분석하고, 솔루션을 찾는 데 도움이 될 수 있습니다.

다음 포스팅에서는 더 심화된 분석 기법을 적용해보겠습니다.

그럼, 즐겁게 코딩하시길 바랍니다!

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

오늘은 모의해킹 실습 환경을 구축하는 방법에 대해 소개하려고 합니다.
이번 글에서는 VirtualBox와 칼리 리눅스(Kali Linux)를 사용합니다.

1. VirtualBox 설치

먼저, VirtualBox를 설치해야 합니다.

우리가 모의 해킹 실습을 위한 가상 환경을 만들어 줄 도구입니다.

VirtualBox의 최신 버전을 다운로드하기 위해 VirtualBox 공식 웹사이트

https://www.virtualbox.org/

웹사이트에서는 여러 운영체제를 위한 다운로드 옵션이 제공됩니다.

본인의 운영체제에 맞는 버전을 다운로드하고 설치하세요.

2. 칼리 리눅스 ISO 다운로드

칼리 리눅스는 모의해킹 및 펜 테스팅에 가장 널리 사용되는 운영체제 중 하나입니다.

칼리 리눅스의 공식 웹사이트 (https://www.kali.org/)에서 ISO 이미지를 다운로드하세요.

저는 맥북 M1이라 아래 파일을 설치했습니다.

3. VirtualBox에서 칼리 리눅스

가상 머신 생성

VirtualBox를 실행하고 "새로 만들기" 버튼을 클릭하여 가상 머신을 생성합니다.

이름, 타입(리눅스), 버전(Debian 64-bit)을 설정하고, 나머지 설정을 변경합니다 (아래)

메모리(RAM): 칼리 리눅스의 공식 문서에 따르면 최소 2GB의 RAM이 권장됩니다.

그러나 여유가 있다면 4GB 또는 그 이상을 할당하는 것이 좋습니다.

가상 머신의 성능을 향상시키고 여러 프로그램을 동시에 실행하는 데 도움이 됩니다.

CPU 코어: 사용 가능한 CPU 코어의 수에 따라 다르지만,

일반적으로 가상 머신에 2개의 코어를 할당하는 것이 좋습니다.

이는 가상 머신의 성능을 향상시키고, 동시에 여러 작업을 수행하는 데 도움이 됩니다.

하드 디스크 공간: 칼리 리눅스를 설치하고 업데이트하려면 최소 20GB의 공간이 필요합니다.

그러나 추가의 소프트웨어나 데이터를 저장하려는 경우 더 많은 공간을 할당하는 것이 좋습니다.

4. 칼리 리눅스 ISO를 가상 머신에 연결

생성한 가상 머신을 선택하고 설정으로 이동하세요.

"저장소" 메뉴에서 "빈" CD 아이콘을 클릭하고,

우측에 있는 CD 아이콘을 클릭하여 다운로드한 칼리 리눅스 ISO 파일을 선택하세요.

5. 칼리 리눅스 설치

가상 머신을 시작하면 칼리 리눅스 설치 환경이 실행됩니다.

설치 언어, 지역, 키보드 구성 등을 설정하고, 가이드에 따라 설치를 진행하세요.

설치가 완료되면 칼리 리눅스를 실행할 수 있습니다.

1. 외부 네트워크 (NAT) 설정

NAT(Network Address Translation)은

가상 머신이 인터넷에 접속할 수 있도록 해주는 네트워크 설정입니다.

VirtualBox에서 해당 가상 머신을 선택하고 '설정'으로 이동합니다.

'네트워크'를 선택하고 '어댑터 1' 탭에서

'네트워크 연결'을 'NAT'로 설정합니다.

이렇게 하면 가상 머신은 호스트 시스템을 통해 인터넷에 접근할 수 있게 됩니다.

2. 내부 사설망 네트워크 설정

내부 사설망은 여러 가상 머신 간의 네트워크 통신을 가능하게 합니다.

'네트워크'를 선택하고 '어댑터 2' 탭으로 이동합니다.

'어댑터 사용' 체크박스를 선택하고 '네트워크 연결'을 '내부 네트워크'로 설정합니다.

'네트워크 이름'에는 고유한 이름을 입력하시면 됩니다.

같은 내부 네트워크에 연결하려는 모든 가상 머신은 동일한 네트워크 이름을 사용해야 합니다.

설정이 끝났다면 '확인'을 클릭하여 변경 사항을 저장합니다.

root@kali:~# vi /etc/network/interfaces

root@kali:~# service networking restart

이제 모의해킹 환경을 위해 외부 네트워크 (NAT)와 내부 사설망 네트워크가 모두 설정되었습니다.

이제 인터넷 연결과 가상 머신 간의 네트워크 연결이 모두 가능해졌습니다.

이 설정들은 모의해킹 실습에 필수적인 요소로, 다양한 네트워크 환경에서의 테스트를 가능하게 합니다.

만일 비밀번호를 분실하였다면 아래 글을 참조해주세요

https://jdcyber.tistory.com/57

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

이웃 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

이번 업데이트 내용 중 주목해야 될 부분은 “신속 보안 대응”입니다.

이 글에서는 해당 업데이트 사항에 대해 자세히 알아보고자 합니다.

과연 어떤 내용인지 자세하게 알아보겠습니다.

긴급 패치(신속 보안 대응)이란 무엇인가요?

긴급 패치 (신속 보안 대응)이란 애플 공식 홈페이지 설명에 따르면 긴급상황 발생 시 

앱스토어 및 아이튠즈 스토어 이용 시 빠르게 대응하기 위한 서비스라고 합니다.

예를 들어 해커가 악성코드를 심어서 앱 다운로드나 결제를 유도하면 이를 감지하여 계정 보호 조치를 취하는 방식이죠.

기존에는 이러한 상황 발생 시 개발자가 직접 신고하거나 수동으로 처리했기 때문에 

시간이 오래 걸렸지만 이제는 실시간으로 대처가 가능해졌습니다.

iOS 16.4.1 업데이트 내용

• 웹킷에서 발생하는 임의의 코드 실행 취약점
• 메시지 앱에서 발생하는 원격 코드 실행 취약점
• 사파리에서 발생하는 개인 정보 유출 취약점
• 애플 페이에서 발생하는 결제 인증 우회 취약점

이번 신속 보안 대응 패치에 대한 애플 공식 홈페이지 설명은 다음과 같습니다.

이번 업데이트는 아이폰의 웹킷(WebKit)과 코어 그래픽스(CoreGraphics)에서 발견된 취약점을 수정합니다.
웹킷은 아이폰의 기본 브라우저인 사파리(Safari)와 다른 앱에서 웹 콘텐츠를 표시하는 엔진입니다.
코어 그래픽스는 아이폰의 그래픽 처리를 담당하는 프레임워크입니다.
이 두 취약점은 악의적인 웹 페이지나 이미지 파일을 통해 원격으로 임의의 코드를 실행할 수 있는 위험을 내포하고 있습니다.

CVE-2023-28205
CVE-2023-28206

업데이트 방법은 어떻게 되나요?

별도의 다운로드 없이 설정 > 일반 > 소프트웨어 업데이트 항목에서 수동으로 설치하면 됩니다.

만약 이미 기존 버전 OS 가 설치되어 있다면 재부팅 후 다시 시도하면 됩니다.

iOS 16.4.1은 아이폰의 보안을 강화하고 안전한 사용 환경을 제공하기 위한 중요한 업데이트입니다.
아이폰 사용자들은 이번 업데이트를 놓치지 마시고, 항상 최신 버전의 iOS를 유지하시기 바랍니다.
​
지금까지 살펴본 바와 같이 현재 많은 부분에서 개선되고 있지만 아직까지도 완벽하게 안전하진 않습니다.
그러니 항상 주의 깊게 살펴보고 조금이라도 이상하다 싶으면 즉시 조치를 취하는 습관을 기르도록 하는 것이 중요할 것 같습니다.
이번 업데이트 이후 많은 사람들이 해킹으로부터 안전해질지 기대됩니다.
하지만 완벽한 보안은 없기 때문에 주기적인 비밀번호 변경 등 개인정보보호를 위해 개인이 노력해야겠습니다.