wireshark 패킷 분석 / 악성코드 추출 / 네트워크 포렌식

#pcap 파일 첨부

와이어샤크로 열어보자ㅏㅏㅏㅏㅏㅏㅏ

요약 정보를 먼저 확인 한다.

모두 80(http) 포트를 사용한다.

눈에 띄는 이상을 확인할 수 없었다.

Export HTTP object 확인하기

가장 먼저 한 눈에 알 수 있는 것은 conversations에서 확인한대로 모두 http 관련 정보이다.

hostname은 microsoft에서 windows 업데이트를 한 것으로 추정된다.

일단 처음의 내용을 확인해보고자 html로 추출하려고 하였다.

html ......

html 코드를 복사하여 추출한다.

html 코드를 복사한 txt 파일을......

wizboard.html로 파일명과 확장명을 변경한다.

html 파일을 열어 내용을 확인하면 microsoft의 update 다운로드 페이지인 것 같다.

update.zip 하이퍼링크를 클릭하여 정보를 계속 확인하도록 한다.

  

updata.zip을 누르면 당연히 없는 페이지이다.

확인하려는 것은 URL이다.

download.php / filename=3121_updata.zip .......

Export object에서 확인할 수 있었다.

type이 file/unknown이라 사실 처음부터 이상했다.

해당하는 패킷을 확인한다.

다음은 http 헤더이다.

PK 파일 시그니처는 zip

HxD 헥스 에디터로 text를 복사하여 파일을 추출한다.

파일명과 확장명을 update.zip으로 변경한다.

updata.exe는 바이러스 검출된 파일이다.

chapter_11.pcap