[Network Forensic] #4. The Curious Mr. X

The Curious Mr. X의 주어진 정보와 문제는 아래와 같습니다.

 

 ---------------------------------------------------------------------------------------------------

[주어진 정보]

Mr.X가 네트워크에서 정찰(reconnaissance) 활동을 했음…

4번에서는 주어진 정보는 거의 없다… 하지만 아래에 보이는 것 처럼 문제를 통해 출제자가 원하는 것은 포트스캔에 관련한 문제임을 파악할 수 있습니다.

 

 

[문제]

1. What was the IP address of Mr. X’s scanner?

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

3. What were the IP addresses of the targets Mr. X discovered?

4. What was the MAC address of the Apple system he found?

5. What was the IP address of the Windows system he found?

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)

X-TRA CREDIT (You dona€™t have to answer this, but you get super bonus points if you do): What was the name of the tool Mr. X used to port scan? How can you tell? Can you reconstruct the output from the tool, roughly the way Mr. X would have seen it?

 ---------------------------------------------------------------------------------------------------

문제1. What was the IP address of Mr. X’s scanner?

1번은 Scan을 수행한 IP에 관련해 묻는 문제입니다.

evidence04.pcap를 다운받고 Wireshark로 분석해보면 

가장 먼저, 10.42.42.253의 IP가 다른 IP로의 Well Known 포트(80, 23, 22 등)로 요청하는 패킷을 쉽게 발견할 수 있습니다. 

따라서 Mr.X의 IP는 10.42.42.253이라는 사실을 추론해 볼 수 있습니다.

1번) 10.42.42.253

문제2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

 

이 문제는 포트 스캔 시, 포트스캔 방법을 물어보는 문제인데요 Mr.X가 포트스캔을 시도한 패킷을 봐 보면 아래와 같이 Syn Flag에만 1이 표시 되어 있음을 확인 할 수 있습니다. 따라서 답은 TCP SYN 또는 TCP Connect 중 하나로 나뉜게 되겠죠?

아래에서 연두색 박스를 확인해 보면 열린 포트에 대하여 SYN, > SYN+ACK > ACK 순서의 패킷을 발견할 수 있습니다. 

이는 곳 TCP Connect를 의미하기 때문에 답은 TCP SYN이 될 수 없습니다. 

하지만 저는 열린포트에 대한 정보를 확인하지 않았기 때문에 TCP SYN으로 오답을 기입하였죠ㅠㅠ

2번) TCP Connect

문제3. What were the IP addresses of the targets Mr. X discovered?

위 문제는 Mr.X가 발견한 호스트 IP에 대한 물음입니다. 

해당 정보는 Wireshark에 Statistics > IPv4 Statistics > All Addresses 버튼을 클릭하여 확인이 가능합니다.

아래와 같이 발견한 호스트 IP 확인.

3번) 10.42.42.25, 10.42.42.50, 10.42.42.56

문제4. What was the MAC address of the Apple system he found?

 

Apple 시스템의 MAC 주소를 묻는 문제입니다. 

처음 문제를 접했을 때 어떻게 Apple 시스템을 찾을까 고민하다가 단순하게 Find 기능으로 Apple을 검색해보자는 생각으로 검색해보니.. 다음과 같이 바로 찾을 수 있었습니다. 완전 행운~

4번) 00:16:cb:92:6e:dc

문제5. What was the IP address of the Windows system he found?

다음 문제는 예전에 해커스쿨에서 TTL 값으로 운영체제를 구분하는 만화를 봤던 기억을 되살려 

검색을 통해 윈도우 시스템을 찾을 수 있었습니다. 

검색결과 대부분의 Windows 시스템의 TTL 값은 128임을 알 수 있죠.

패킷 필터링을 Protocol 종류 icmp로 필터링하여 ttl 값을 확인해 보니 128의 값을 가진 IP는 10.42.42.50 이렇게 하나의 시스템을 확인 할 수 있습니다.

이외에도 최강의 툴인 NetworkMiner를 통해 Hosts를 확인해 보면 해당 시스템이 윈도우인지 리눅스인지 바로 확인이 가능합니다.

5번) 10.42.42.50

문제6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

Windows 시스템(10.42.42.50)에서 열려있는 포트가 무었있지 열려있다면 낮은 숫자에서 높은숫자로 정렬하라는 요구의 문제입니다.

해당 문제는 포트가 열려있다면 SYN, ACK패킷을 전송하였을 것이라는 생각으로 다음과 같이 필터링을 정요하였다. ip.addr == 10.42.42.50 && tcp.flags.ack == 1 && tcp.flags.syn == 1

 

필터링을 적용하니 135, 139번의 포트가 열려있음을 확인 할 수 있었다.

 

6번) 135, 139

4. The Curious Mr. X에 대한 모든 정답은 아래에 있습니다.

---------------------------------------------------------------------------------------------------

1. What was the IP address of Mr. X’s scanner?

A : 10.42.42.253

2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the scan consisted of many thousands of packets.) Pick one:

● TCP SYN, ● TCP ACK, ● UDP, ● TCP Connect, ● TCP XMAS, ●TCP RST

A : TCP Connect

3. What were the IP addresses of the targets Mr. X discovered?

A : 10.42.42.25, 10.42.42.50, 10.42.42.56

4. What was the MAC address of the Apple system he found?

A : 00:16:cb:92:6e:dc

5. What was the IP address of the Windows system he found?

A : 10.42.42.50

6. What TCP ports were open on the Windows system? (Please list the decimal numbers from lowest to highest.)?

A : 135, 139

---------------------------------------------------------------------------------------------------