갑분칼
로그 분석과 관련해서 평소에 흥미를 두고 있었는데.. suricata나 snort같은.. 막상 써보고 싶어도 분석할 로그를 못찾겠어서 계속 어떻게 해야되나 생각만해왔다. 근데 모의침투환경을 내가 만들면 되는 것 아닌가 싶어서.. VMware로 우분투와 Kali를 설치했다. 설치 가이드 같은 포스팅은 아니고.. 그냥 기록일 뿐이니 Kali 설치와 한글 설정 등에 대한 내용은 다음 블로그에서 매우 잘 기술해 주셨다. (https://gmyankee.tistory.com/125)
Msfvenom
Kali에 있기도 하고 취약점 분석 툴로 대표적인 Metasploit을 이용해서 snort 로깅 테스트를 해보자.
linux 환경에서 실행될 reverse_tcp 바이너리를 하나 만들어줍니다. msfvenom 즉 metasploit은 사용법이 pdf로 요약본이 올라올 정도로 정보가 많으니 자세한 사용방법은 생략하고,
sessions - i <session number>로 elf 파일을 실행시킨 호스트와 세션을 연결할 수 있다. 다양한 명령어가 입력가능 한데... 이 포스팅의 목적은 snort의 로깅만 확인해보는 것이므로, 간단하게 sysinfo만 찍어보자.
위와 같이 elf 파일을 실행한 호스트의 os 정보를 출력해준다.
SNORT
elf 파일을 실행시킨 호스트에서 일단 아무런 옵션없이 snort를 실행하면 다음과 같은 라인이 지속적으로 출력된다.
이 상태에서 kali host에서 sysinfo를 찍어보면 희생자 호스트 snort에서는
3번째 로그와 같이 찍히기는 찍힌다. 하지만, 메시지도 없고 다른 로그들과 섞이므로 확실히 구분해서 보려면 rule을 정의하는 것이 좋아보인다. 처음이니.. 연습할 겸 룰을 만들어보자.
snort는 실행될 때 필터링 규칙에 해당하는, 적용할 rule을 지정해 주는 configuration 파일이 필요하다. snort.conf 파일인데, 여기서 포함시킬 rule을 설정해줄 수 있다. local.rules는 내가 임의로 만든 rule파일이고, 나머지 rule을 주석처리한 이유는 실행시에 local.rules 파일의 로그만 보기 위해서 나머지는 주석처리했다.
룰 형식은 적당히 설정해주자. 룰에 해당하는 msg가 알맞게 뜨는지만 확인하기 위해서.. 이 상태로 snort를 돌리고 metasploit으로 sysinfo를 찍어보자.
설정한 msg가 잘 뜨고 있는 것을 확인할 수 있다.