ARP_Spoofing에 의해서 나의 아이디와 패스워드가 유출됬다!
ID and Password of mine were leaked by ARP Spoofing!
key is AttackerMacaddress_VictimPassword
우선 ARP spoofing이라 하니 ARP 프로토콜 + 공격자의 mac 주소를 알아내야 하니 ARP 프로토콜의 response 패킷만 볼 수 있게 필터링하자.
아래와 같이 ARP 프로토콜 + arp.opcode == 2로 설정하자.
패킷을 보낸 사람이 중복되었다는 것을 알 수 있다. 그 사람의 source 주소가 우리가 찾던 mac 주소다.
이재 피해자를 찾아보자. 사진은 따로 없지만 ARP 프로토콜로 필터링을 걸어서 검색하면 192.168.232.131에서 대부분 ARP request를 보냈다. ip.addr = 192.168.232.131로 필터링을 걸어 살펴보자.
위와 같이 패킷 리스트를 보다보면 login.php에 패킷을 보낸 기록이 남는다. 그 패킷에서 비밀번호를 찾을 수 있었다.
우탱아, 가을인데 단풍놀이 가야지~ 어디로 갈까?
Wootang, Let’s go to see the maple leaves~ it’s Autumn! where is it?
짐작 가는 바가 없어 wootang이나 autumn이나 키워드로 검색했다. 하지만 아무것도 나오지 않았다.
따로 찾아보니 HTTP object를 추출하면 된다고 한다. 모든 object를 export하고 찾아보니 where_is_it? 이라는 파일이 존재했다.
이 파일에 대한 정보를 따로 안 보이고 구글 이미지로 검색하면 대략적인 결과를 확인할 수 있었다.
악성 다운로더
Malware Downloader
try1. 처음에는 malware에 관한 공부를 해야겠다 싶어서 찾아봤지만 원하는 정보를 얻을 수 없었다. try2. download, malware 등등 키워드로 패킷 내용을 검색했지만 실패했다. try3. HTTP object에서 주고 받은 파일을 확인할 수 있으니 malware 관련된 파일을 찾아보자.
너무 방대한 양의 추상적인 목적이라 찾기 힘들었다. 결국 finder의 힘을 빌려서 찾아냈다.
TCP file stream을 보니 answer is blah blah ~ 가 나온다.