1. 쉘코드 입력 데이터 찾기 (패킷번호) 3~4개
29, 31, 33
쉘 코드는 어셈블리어이다
공격 시 패딩역할, 디버깅 회피, 재사용성의 이유로 쉘코드를 90 (nop) 명령어 사이에 배치하는 경우가 많다
29번 패킷을 시작으로 다수의 90 (nop) 이 전달되고 그 사이에 쉘코드가 삽입되며 마지막은 31 31 (DWORD PTR [ecx],esi) 이 반복되며 버퍼 오버플로우를 일으키고 있는 것으로 추정
2. 어떤 시스템이 공격자인가 (IP주소)
쉘코드를 포함한 패킷을 보낸 측이 공격자로 추정
98.114.205.102
3. 공격 호스트에 대해 조사 (IP 주소에 대한 위치)
4. 파일 추출 작업 진행
와이어샤크, networkminer 활용해봤으나 별도로 추출되는 파일은 없었음
smb 취약점을 이용하여 다운로드 받게 하는 공격이라서 그런것으로 추정
5. 실제 악성코드인가?
ssms.exe 가 실제로 어떤 동작을 하는지는 정확히 파악하지 못했지만
정상 코드였다면 버퍼오버플로우를 일으킬 이유가 없다고 생각하기 떄문에 악성코드라고 생각합니다.
6. 악성코드 이름 (패킷에 실행파일 이름 찾기)
ssms.exe
tcp stream 에서 확인
7. 얼마나 많은 TCP 세션이 파일에 존재하는가?
5개
8. 이 공격은 수동인가 아니면 자동화된 공격 기법인가?
쉘 코드를 활용하여 특정 파일을 다운로드 받게 했으니 자동화라고 생각합니다.