코드게이트 본선 문제 중 하나는 컨피커웜에 관한 것이었다. 2008년 MS08-067 SMB 취약점으로 한때 명성이 자자했던 이 웜은 네트워크를 통해 전파되는 특징이 있다. 관련 내용은 아래 링크에 자세히 나와있다.
http://www.honeynet.org/node/254
http://core.ahnlab.com/56
한물간 취약점 문제를 단순 판단하라는 것은 매우 쉬운 문제 였을 것이다. 이 문제를 통해 전달하고 싶었던 의도는, 컨피커 웜에 감염된 시스템이 현재도 발견된다는 점이다. 대부분 사용자 PC는 보안 업데이트가 제대로 이루어지겠지만, 불가피하게 그럴 수 없는 곳이 있다. 바로 공장과 같이 시스템을 중단할 수 없는 곳은 패치가 힘들다. 더군다나 이 웜은 외부로 감염이 전파되는것이 아니라 C클래스를 lookup하여 전파하기 때문에 네트워크 장비에서도 탐지되지 않을 수도 있다. 코드게이트 본선 문제는 아래와 같다. 어쩌면 지문에서 이 문제를 왜 냈는지, 의도를 파악할 수 있을것이다.
## PREVIEW
Dear. Network Security Manager.Our manufacture line seems to be wrong on a slow network. Traffics is getting increasingly.We need Network Forensics!
NETWORK_1_by_wo00o.cap## Question
A factory was involved in a security incident. A security response team started to gather some evidences. Here is the packet capture with an infected computer activity. Your mission is to find out below.
1. What is the repesentable name of this attack? (answer is less than 10 bytes and lowercase)
2. What is suspicious IP address with possible malware infections? (it can be plural, sort ip by ascending and connect them in conjuction with under bar. ex. 1.1.1.1_1.1.1.2_1.1.1.3)
3. What is the vulnerable function name using this malware? (lowercase)
Answer Form :: AttackName_IP1_IP2_ ..._IPN_VulnerableFunctionName
CAUTION :: Don't forget Answer is linked with _ (under bar) and lowercase.
문제 파일을 열면 다음과 같이 ARP 트래픽이 다량 발생되고 있는것이 보인다. 111.2.0.0/24 대역으로 IP를 하나씩 증가하면서 시스템을 찾고 있다.
그리고 SMB 트래픽이 있는데, 일반적으로 공유폴더를 사용한다면 발생되는 것이므로 정상으로 판단할 수 있다. 하지만 이 취약점은 NetPathCanonicalize 함수를 사용한 것이므로 관련 취약점으로 생각할 수 있다.
패킷을 살펴보면 ARP 트래픽의 목적지가 111.2.0.53과 111.2.0.55 두개로 향하는 것을 보아 두 PC가 감염되었다고 생각할 수 있으며 답은 다음과 같다.
## Answer
conficker_111.2.0.53_111.2.0.55_netpathcanonicalize
'Hack The Packet > @ 2012 CODEGATE' 카테고리의 다른 글
| [CODEGATE 2012 PREQUEAL] 정상트래픽과 DoS 공격트래픽을 어떻게 구분할 수 있을까? (2) | 2012.02.25 |
|---|
