수상한 IP 점검 방법 / IP 추적 방법(3)

수상한 IP 점검 방법 / Security check for a suspicious IP

 

수상한 IP 점검 방법 / Security check for a suspicious IP

 

최근 NAS 포럼에서 "NAS 해킹 시도가 있다"라며 관련 IP 및 스크린샷을 올리는 NAS 운용자들을 심심치 않게 목격하게 됩니다. 저 역시 4GB 이상의 대용량 파일을 주고받기 위해서 통신사 공유기의 FTP 포트 포워딩 규칙을 일시적으로 활성화시키기도 하는데요, 활성화시키고 1시간도 지나지 않아서 FTP 서버에 접속하려는 해커의 IP를 확인하곤 합니다.

NAS 사용자 뿐만 아니라 PC 해킹 여부를 확인하기 위해 netstat -ano | findstr "ESTABLISHED"로 확인 가능한 활성 연결 IP List 중에서 수상한 IP를 발견했을 경우, whois 검색에서 해당 IP를 입력하고 검색하면 확인할 수 있는 내용은 대부분 단순한 ISP 이름, 국가, 관리자 E-mail 정도입니다. 컴퓨터 관리자 입장에서 판단을 내리기에 많이 부족한 정보입니다.

진짜 해커의 IP 인지, 일반적인 활성 연결인지 확인이 어려운 경우가 꽤 있습니다.
foreign address(외부 주소)에 4444와 같은 독특한 port의 연결이 있는지 확인하고, 관련된 외부 IP 및 pid를 확인합니다.
pid를 기준으로 작업관리자(Ctrl+Shift+ESC)에서 해당 pid와 일치하는 process를 확인하여, 정상 process 인지 확인이 필요합니다. (작업관리자에서 목록 위에서 마우스 오른쪽 클릭하여 pid를 활성화시켜줘야 보이게 됩니다.

이런 과정은 상당히 번거롭기 때문에 1개의 IP를 확인함에 있어서 충분하지만, 여러 개의 IP를 동시에 추적 및 확인하려면 이런 수작업(?) 대신 잘 만들어진 프로그램을 활용하는 것이 좋습니다.

 

netstat -ano findstr "ESTABLISHED" 

 

Spiderfoot - AbuseIPDB module

 

아래 IP는 제 개인 FTP 서버에 접속을 시도한 해커의 IP이며, anonymous, pass에 admin123을 입력하기도 했네요. 이런 작업은 해커가 특정 IP Range와 port를 지정하여 자동화된 script를 이용해 대규모로 network scan을 하고 동시에 해킹을 시도합니다. 따라서 일반적인 서비스 port(21, 22 등)를 사용하게 되면 심심치 않게 이런 해킹 시도를 당하게 됩니다.

 

FTP 계정에 로그인 시도하는 해커의 IP

 

개인 컴퓨터, 휴대폰, 태블릿 PC 또는 NAS 장비에서 수상한 IP 연결이 확인되어 해킹 여부를 확인하고 싶을 때 www.abuseipdb.com 에 접속해서 해당 IP를 검색할 수 있습니다. Whois 메뉴 역시 검색 결과 하단에 별도의 메뉴로 지원되기 때문에 whois 검색 후 다시 접속할 필요가 없습니다.

 

AbuseIPDB에 IP Check(1)

 

Recent Reports에 보면, port scan attack 등 시도한 해킹 종류 및 해킹에 대해 reporter의 국가가 보시됩니다.
각 국가 및 Reporter 별로 어떤 공격이 있었는지 검토해 보세요. 아마 동일한 공격을 당했을 것입니다.

 

AbuseIPDB에 IP Check(2)

 

Recent Reports와 같은 결과가 없이 나온다면, 특별한 해킹 시도가 없었던 IP라고 보시면 됩니다.

 

FTP IP 주소 및 도메인 제한 - 해커 IP 차단

 

NAS 관리자 PAGE 또는 FTP 서버에서 해당 IP를 Deny IP List에 추가해줍니다.

OSINT Tool 중에 유명한 spiderfoot 프로그램을 사용할 수도 있습니다. spiderfoot에는 Open된 정보를 수집할 수 있는 다양한 modules이 있기 때문에 확인이 필요한 특정 정보에 대해서 한 번에 다양한 정보를 수집할 수 있습니다.

spiderfoot의 abuseipdb module을 실행한 결과인데, 하이라이트 된 링크를 클릭하게 되면, abuseipdb 홈페이지에 자동으로 접속되며, 해당 IP와 관련된 정보를 바로 확인할 수 있습니다.

 

Spiderfoot - AbuseIPDB module

 

abuseipdb module을 사용하기 위해서는 abuseipdb의 API Key를 프로그램 settings에서 abuseipdb 항목에 입력해 줘야 사용할 수 있습니다.

 

Spiderfoot - API Key setting

 

Scan "All"의 경우, spiderfoot의 모든 모듈을 사용해서 scan 하기 때문에 상당히 오랜 시간이 걸립니다. 

 

Spiderfoot Scan

 

검색할 정보의 특성에 맞는 검색 case를 선택하여 scan하는 방법 또는 "By Module" 메뉴에서 Module을 선택해서 scan 하는 것이 검색 시간을 단축시킬 수 있습니다.

 

Spiderfoot scan by modules

 

저는 Kali Linux의 spiderfoot을 이용하고 있지만, spiderfoot 홈페이지에 가입하여 Hobby(Free account)를 이용하는 경우, 한 달에 3회까지 scan을 이용할 수 있습니다. 더 많은 scan을 하기 위해서는 구독 요금제 변경 또는 자신의 컴퓨터에 spiderfoot을 설치하고 사용하시면 됩니다.(Kali Linux에는 spiderfoot이 기본 설치되어 있습니다.)

 

Spiderfoot hobby subscription

 

AbuseIPDB의 API Key 관련 Limits인데, Free Account인데도 Daily Limit이 1,000건(check)이나 됩니다. 

 

AbuseIPDB API Key's Limits(Free account)

 

spiderfoot에서 scan 한 자료는 프로그램에 저장되어 사용자가 지우기 전까지 List로 남아있게 됩니다. 정보 수집 및 유지 관리에 매우 편리합니다.

 

Spiderfoot scan result (AbuseIPDB Module)

 

Maltego를 이용한 수상한 IP 확인

 

Maltego (AbuseIPDB)

역시 Kali Linux에 기본적으로 설치되어 있는 Maltego라는 프로그램입니다. CE Edition의 경우 무료인데, Maltego 홈페이지에 가입하면 CE Edition(Free account) 기능을 이용할 수 있습니다.

Maltego에서 Transform이라고 일종의 modules이 있는데요, AbuseIPDB는 Free로 추가할 수 있는 Transform입니다.
따라서 해당 Transform을 이용해서 한 번에 다수의 IP를 동시에 확인할 수 있습니다.

결과 역시 심플한 그래픽 요소로 확인할 수 있으며 IP 간 상호 관련이 있는 경우, Maltego에서 그래픽으로 그 관계를 화살표 등으로 연결시켜 주기 때문에 더욱 이해하기 쉽습니다.