페북 모님으로 부터 패킷을 받았습니다.

(다시 한번 감사합니다.)


fiddler에서 사용하는 saz 이군요.

(실제 파일은 zip 파일입니다.)


1. fiddler 설치


fiddler은 .Net 을 필요로 합니다.

윈도우 7에서는 닷넷 4.x가 포함되어 있으니(저는 별도 설치한 기억이 없으니) fiddler v4 버전을 설치합니다.


http://www.telerik.com/download/fiddler 에서 다운로드 합니다.


회사에서는 대체로 자동화된 시스템에서 샘플이 수집 되어서 패킷을 보는 경우는 많지 않은데 요즘은 fiddler 를 많이 사용하더군요.


몇 번 사용 안 해봐서 아직 익숙하지는 않습니다.



2. saz 열기


[File] -> [Load Archive]로 saz 파일을 엽니다.

그럼 주고 받은 패킷이 화면에 나옵니다.



3. 경유지 찾기


어떤 tistory.com 에 접속했을 때 패킷 기록임을 알 수 있습니다.


흐름을 보니 갑자기 이상한 사이트(www.happy*.co.kr/css/index.html)가 눈에 들어옵니다.




코드도 좀 이상합니다.




이 페이지를 어디서 로드하는지 역으로 하나하나 패킷 내용을 확인합니다.

광고 플러그인 페이지에서 iframe으로 www.happy*.co.kr/css/index.html을 로드하는걸 볼 수 있습니다.






오케이...

티스토리 접속 -> 광고 플러그인 로드 -> 광고 플러그인은 iframe으로 www.happy*.co.kr/css/index.html 로드 라는걸 알 수 있습니다.


4. 배포처 찾기


좀 더 내려가보면 www.car*.net/data/file/b.exe에서 파일을 다운로드 되는걸 확인 할 수 있습니다.


파일도 MZ와 PE 를 포함하고 있으니 PE 파일임을 알 수 있습니다.



배포 된 주소해 파일을 다운로드 하려니 '공격 사이트 보고!'가 가로 막아 버리네요.

(현재는 해당 파일이 삭제되어서 파일이 다운로드 되지 않습니다.)




5. b.exe 뽑아 내기


웹브라우저에서 접근 할 수 없으니 (다른 웹브라우저를 이용하거나 wget으로 다운로드 하면 됩니다만...)

Fiddler에서 파일 다운로드 해보겠습니다.


일단 www.car*.net/data/file/b.exe 요청 부분으로 옮겨갑니다.


파일 저장은 [File] -> [Save] -> [Response] -> [Response Body]로 할 수 있습니다.


http://www.car*.net/data/file/b.exe 를 요청해서 응답하는(Response Body)만 받으면 악성코드 본체만 다운로드 할 수 있습니다.





b.exe 다운로드 창이 뜹니다.




이제 저장하고 (안전을 위해 확장자를 exe_와 같이 바꿔주는 센스!)




*** 결론


패킷이나 이런 부분은 시큐리티 파트 분들이 잘하다보니 저의 툴 사용 방법을 보고 뭘 저렇게 해 ?! 하는 분들도 있을 듯 합니다.

오래된 파일 분석가의 한계... TT

요즘 어린(?) 분석가들은 이런 툴 잘 사용하겠죠 ?!





신고
Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2014.03.16 21:28 신고  댓글주소  수정/삭제  댓글쓰기

    Fiddler로 파일 추출하는 것은 저 방법이 정석일 것 같습니다.^^

  2. Auditor Lee 2014.03.17 00:55 신고  댓글주소  수정/삭제  댓글쓰기

    이미 패킷 캡처된 거라서 우측 창의 소스를 에디터에 복사&붙여넣기 하고 다른 이름으로 저장하면 됩니다.

    • mstoned7 2014.03.17 09:13 신고  댓글주소  수정/삭제

      패킷과 사용법 다시 한번 감사합니다. safari에서도 제 블로그 지금 차단 중이네요 TT 광고 플러그인도 뺐는데.. 구글에서 아직 제외 안했나 보네요 ㅎㅎ

  3. 애뽀 2016.05.29 00:14 신고  댓글주소  수정/삭제  댓글쓰기

    쿨캣님 fidder이 설치는 되지만 켜지지가 않을땐 어찌해야하나요...



티스토리 툴바