휴대폰 해킹 확인 방법(How to check for hacked mobile phone) / IP 확인 방법(4번째 이야기)

휴대폰 해킹 확인(1) - 네트워크 도구

 

휴대폰 해킹 확인 방법 / IP 확인 방법(4번째 이야기)

 

휴대폰이 해킹되는 경우, 악성앱(payload)이 삽입된 apk 파일이나 ipa 파일을 사용자가 직접 휴대폰에 설치한 경우 해킹되게 됩니다. 이런 악성앱을 실행하는 경우 해커의 서버로 reverse shell을 통해서 연결이 되기 때문에 휴대폰에서 remote server로 연결된 netstat 정보를 확인해서 확인이 가능합니다.

공유기 관리자모드 - 네트워크 분석 - Netstat 메뉴를 통해서 확인할 수 있습니다.

 

netstat 확인(State - ESTABLISHED)

 

휴대폰 해킹 확인(2) - Netstat-nat

 

Netstat - Netstat-nat를 선택하고, By source IP, 휴대폰의 IP를 선택하고 Netstat를 누르면 휴대폰에 연결된 IP가 나오게 됩니다. 여기서 중요한 IP들은 State에 "ESTABLISHED'로 나오는 IP LIST입니다.

 

휴대폰 해킹 확인(3)

 

저는 전체를 선택했지만, ESTABLISHED STATE만 선택해서 모두 복사하세요.

 

휴대폰 해킹 확인(4)

 

시간이 지나면서 TIME_WAIT, CLOSE로 바뀌는 IP는 대부분 확인하실 필요는 없습니다. 궁금하시면 전체 복사해서 점검해 보세요.

 

IP 확인을 위한 Shell script 실행 (shell script for whois)

 

휴대폰 해킹 확인(5) - cat 명령어로 ip_src.txt 파일에 IP 저장하기

 

windows 10, windows 11의 wsl2 기능을 활성화하시고, 우분투나 Kali LInux를 사용하시면 윈도에서도 쉽게 Shell script를 실행하실 수 있습니다.

리눅스 터미널에서 적당한 디렉터리로 이동하시고  cat > ip_src.txt 를 입력하고 enter를 누릅니다.
마우스 오른쪽 클릭(자동 paste) 또는 ctrl + shift + v를 눌러서 복사한 IP를 붙여 넣기 합니다.
enter를 한 번 입력하고, Ctrl + D를 눌러서 종료합니다.
제가 공개하는 shell script는 리눅스 기반에서 작동을 합니다. 아래에 있는 코드블록에서 내용을 복사해서 사용하시거나 첨부된 ipchec4.sh 파일을 다운로드하여서 사용하시기 바랍니다.

ipcheck4.sh

0.00MB

 

#!/bin/bash
IPLIST="$1"
IPLIST2=$(awk '{print $3}' $IPLIST |cut -d : -f1 | uniq)
if [[ -e ./result.txt  ||  -e ./whois*.txt ]] ; then
        $(rm ./result.txt ./whois*.txt)
        echo "previous result and whois summary files were removed!!!"
else
        echo "whois search ready"
fi

echo "[############# whois searching for .... #############]"
for IP_SRC in $(echo $IPLIST2)
do
        echo "whois $IP_SRC"
        whois $IP_SRC >> ./result.txt
done
echo "[############# summany of whois result #############]"
for ip in $(echo $IPLIST2)
do
        whois $ip | echo "$ip $(grep 'OrgName')"
done | tee whois1.txt

echo "[############# alternative search for descr: #############]"

for ip in $(echo $IPLIST2)
do
        whois $ip | echo "$ip $(grep 'descr')"
done | tee whois2.txt

echo "[############# alternative search for 기관명: #############]"

for ip in $(echo $IPLIST2)
do
        whois $ip | echo "$ip $(grep '기관명')"
done | tee whois3.txt

 

다운로드한 ipcheck4.sh 파일에 실행권한을 주기 위해서 chmod u+x ipcheck4.sh 명령어를 입력합니다.
./ipcheck4.sh ip_src.txt 명령어를 입력하시면 자동으로 실행이 됩니다. 

 

휴대폰 해킹 확인(6) - script 실행방법

 

whois 검색시 OrgName, descr:, 기관명으로 각각 whois 결과를 추출하도록 만들었습니다. 먼저 OrgName에 나오는 결과를 확인하시고, 비어있는 부분은 아래쪽에 나오는 descr:, 기관명에서 확인하시면 됩니다.

kakao Corp, Daou technology의 경우 descr: 및 기관명에서 추출이 되기 때문에 좀 shell script가 지저분한 점 널리 양해 바랍니다. 제가 그냥 개인적으로 사용하려고 만든 것이라 script가 지저분할 수 있습니다.

 

휴대폰 해킹 확인(7)