NetworkMiner(http://networkminer.sourceforge.net/) 는 네트워크 포렌직 분석 도구이다. 유닉스 환경에서 주로 소개하였던 도구와 달리 윈도우에서 실행이 가능하다. 네트워크마이너(NetworkMiner) 는 패킷 캡쳐 기능을
제공하면서 사용하는 운영체제, 세션, 호스트이름, 열려있는 포트 정보등을 탐지할 수 있다.
실시간으로 탐지하는 기능뿐만 아니라, PCAP 파일을 직접 읽어들일 수도 있다.
네트워크 상에서 데이터를 수집하는 기능보다는 네트워크 상의 호스트에 대한
정보를 수집하는 것이다. 실행을 하면 아래와 같은 화면을 볼 수 있다.
호스트, 프레임, 파일, 이미지와 같은 탭을 볼 수가 있다. 각각 클릭해 보면
상세한 정보를 얻을 수 있다. 호스트 탭을 보면 해당 IP 에서
운영체제 정보, 맥 주소, 전송된 정보등을 볼 수 있다. 파일탭에는 파일이
기록되어 바로 오픈하여 볼 수도 있다. NetworkMiner 가 설치된 폴더를 보면
'AssembledFiles' 에서 IP와 포트별로 나뉘어져 저장된 데이터를 볼 수 있으며
Captures 에는 패킷 덤프파일이 기록된다.
그리고 앞서 말한 운영체제의 판단은 'Fingerprints' 에 들어있는 정보를 이용한다.
그중에 하나인 etter.finger.os 는 ettercap 의 정보파일을 이용한 것이다.
각 운영체제마다 특정한 TCP 값 정보를 이용하여 운영체제를 판단하는 것이다.
이와 관련한 정보는 추후 공유하도록 하겠다.
다시 화면으로 돌아가서, Keywords 탭 에서는 내가 찾고자 하는 정보를 쉽게 찾아 볼 수 있다.
특정한 스트링 값이나 헥사(HEX) 값을 입력하고 'Add' 를 누른다. 그리고
우측 하단의 Reload Case Files 를 누르면 다시 파일을 재 로드 하면서 해당
키워드가 포함된 정보가 우측 화면에 나타나게 된다. Credentials 탭에는
사용자 이름/패스워드와 같은 중요정보가 검출되면 나타나게 된다.
NetworkMiner 는 따로 설치도 필요하지 않아, 바로 사용이 가능하고 GUI 환경으로 되어있어,
정보 파악이 쉽게 되어 있다. 패킷 분석 도구만을 이용하는 경우에는 직접 분석가가 세부적으로 각
패킷의 정보를 일일이 확인해야 하는 반면, 이러한 포렌식 형태의 도구는 보다 정보를 빨리
얻을 수 있도록 도와주고, 분석의 접근을 용이하게 해준다. 호스트의 세부정보를 도구의 도움으로
쉽게 얻을 수 있고, 이미지나 파일과 같은 데이터도 Reassemble 하여 저장을 해주니 상당히
편리하다.
도구의 사용에 앞서,
패킷 데이터에서 무엇을 얻고자 하고, 왜 분석을 해야 하는지의 형태에 따라 어떤 방법으로 분석을 접근 해야 할지 결정해야 한다. 그 점은 잊지말자!. 도구가 모든 해결책이 될수는 없다.
여하튼, 앞으로도 네트워크 포렌식 도구에 대해서 몇 가지를 계속 소개해 나갈 것이다.
[참고]
1. 분석에 이용된 패킷 파일
http://holisticinfosec.org/toolsmith/files/nov2k6/toolsmith.pcap
댓글 없음:
댓글 쓰기