Volatility Cridex 정리
과정
운영체제 식별 : WinXPSP2x86
프로세스 검색 : reader_sl.exe(1640)가 수상한 프로세스로 보임
네트워크 분석 :
- 공격자 IP : 41.168.5.140:8080
- PID : 1484(explorer.exe)
CMD 분석 -> 결과 없음
파일 분석 및 덤프
- filescan 결과로부터 reader_sl.exe 추출
- dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매
프로세스 세부 분석
- procdump 이용하여 reader_sl.exe 실행파일 추출 -> Virustotal 검색 -> 확실
- memdump 이용하여 reader_sl.exe 메모리 영역 덤프 -> strings 명령어 이용 -> 수상한 URL들 발견
분석 결과
분석할 것 : 침입 경로 - 어떤 악성행위를 했는가 - 추가 공격 정황이 있는가
침입 경로 : 확인 불가
악성 행위 :
- 악성 프로세스 "reader_sl.exe" (PID : 1640) 식별
- 외부 통신 IP "41.168.5.140:8080" 발견
- 프로세스 덤프 후 Virustotal 결과 -> 악성 프로세스 확인
- 프로세스 메모리 덤프 내부에서 수상해 보이는 단서 확보
추가 공격 : 확인 불가
추가 분석 가능한 부분들
explorer.exe 프로세스 분석
IP 추척 -> Whois 조회
레지스트리 추출 - 자동 실행 관련 분석
explorer.exe 메모리 덤프 내부에 웹페이지 소스코드(HTML) 분석
GrrCon 2015 정리
과정
운영체제 식별 : Win7SP1x86
프로세스 검색 :
- Teamviewer 관련 프로세스 (tv_w32.exe)
- explorer 하위 프로세스(mstsc.ex, OUTLOOK.exe)
- 인터넷 익스플로러(iexplorer.exe, cmd.exe)
네트워크 분석 :
- 공격자 IP : 180.76.254.120:22
- PID : 2996(iexplorer.exe)
CMD 분석 :
- cmdline -> tv_w32.exe 수상함 -> 조사해보니 정상 프로세스
- cmdscan, consoles -> 악성 실행파일 발견(wce.exe)
파일 분석 :
- wce.exe : 관리자 계정을 포함하여 패스워드를 가져오는 실행파일
- w.tmp : wce.exe의 실행 결과로 출력된 파일
- AnyConnectInstaller.exe : Outlook 메일로부터 출력된 실행파일
프로세스 세부 분석 :
- Outlook.exe의 메모리 덤프로부터 피싱 메일 발견(Hello Mr.Wellick...)
+AnyConnectInstaller.exe의 URL 확보 - iexplorer.exe 메모리 덤프로부터 공격의 흔적 발견
- Teamviewer 관련 프로세스는 정상 프로세스로 판단
분석 결과
침입 경로 : Outlook 피싱 메일을 통해 AnyConnectInstaller.exe 다운로드를 유도
악성 행위 :
- AnyConnectInstaller.exe 실행파일 발견
- iexplorer.exe 내부에서도 공격의 흔적 발견
- wce.exe를 통해 관리자 패스워드를 가져오고 w.tmp 파일로 저장함
추가 공격 : mstsc를 이용한 추가 공격 예상
추가 분석 가능한 부분들
iexplorer.exe 추가 분석 - procdump로 실행파일 살펴보기
Outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기
공격자가 사용한 도구들과 구체적 행위를 파악하기(hint : consoles.log 살펴보기)
공격자의 추가 공격 행위 파악(hint : mstsc, gideon)
OlympicDestroyer - Volatility Contest 2018 풀이(1)
문제 다운로드 - https://drive.google.com/file/d/1Wwo1GJbidGFHdgSb72jzOVHwWWh_NHmk/view
시나리오 : 평창 올림픽의 사이트가 일시적으로 중단되는 사태가 있었고, 문제는 해당 악성코드를 재구성한 것. 메일의 첨부파일이 의심스러움.
단서
첨부파일명 : Olympic_Session_V10
메일을 통해 감염
*편의상 경로는 대부분 생략
| cd .\Desktop\olympic #경로 이동 volatility -f 'Windows 7-1a1299dc.vmem' imageinfo #운영체제 확인 |
운영체제 임의로 고르기 : Win7SP1x86
| volatility -f 'Windows 7-1a1299dc.vmem' --profiles=Win7SP1x86 '명령어' > '명령어'.log |
아래(접은글)의 파일들 추출하기
pslist
psscan
pstree
psxview
cmdline
cmdscan
consoles
netscan
filescan
추출한 후 notepad++ 실행
pstree.log에서 수상한 목록
OlympicDestroy 이름부터 수상 -> 해당 프로세스를 부모로 가지는 프로세스들 싹다 수상 / powershell 수상 / Wmi 수상
OSPPSVC.EXE -> 엑셀을 통한 침입이므로 마이크로오피스 관련 프로세스 수상
taskeng.exe -> 작업스 케줄러라서 수상(악성코드를 스케줄러에 등록해 계속 실행하게 둘 수 있음?)
| ... 0x878b13f8:WmiPrvSE.exe 296 652 11 325 2018-04-28 22:18:37 UTC+0000 .... 0x857319c8:powershell.exe 596 296 13 448 2018-09-23 07:25:51 UTC+0000 ..... 0x85742b78:OlympicDestroy 3528 596 8 220 2018-09-23 16:16:56 UTC+0000 ...... 0x859e0cc0:_xut.exe 2432 3528 3 70 2018-09-23 16:16:57 UTC+0000 ...... 0x85883030:teikv.exe 1648 3528 0 ------ 2018-09-23 16:16:56 UTC+0000 ...... 0x859ce348:ocxip.exe 3340 3528 0 ------ 2018-09-23 16:16:56 UTC+0000 .. 0x85addd28:OSPPSVC.EXE 1700 528 3 123 2018-09-23 07:25:32 UTC+0000 ... 0x85a1bb38:taskeng.exe 2192 936 4 79 2018-09-23 16:24:23 UTC+0000 |
pslist.log로 시간순으로 확인해보기.. 수상한 프로세스 간의 시간 간격이 특이점
숨김 프로세스 확인을 위해선 psscan.log을 봐야 하는데, 출력이 안됨 -> psxview.log도 의미없어짐
netscan.log으로 수상한 프로세스 확인 -> 딱히 IP가 안 나와있음
로컬 IP : 192.168.111.130
원격 IP : 192.168.111.128
cmdline.log로 수상한 프로세스 확인, 경로 추출
C:\Windows\System32\OlympicDestroyer3.exe
C:\Users\VM\AppData\Local\Temp\_xut.exe
consoles.log 확인 -> conhost가 powershell을 실행한 걸 볼 수 있음 -> pslist 가서 보면 동시에 conhost와 powershell이 실행됨 -> conhost의 PPID 확인, 해당 숫자를 PID로 가지는 프로세스는 csrss.exe -> csrss는 수상해 보이진 않음 conhost 의심??
filescan.log에 검색 후 추출
OlympicDestroyer3 -> 0x000000007fc8b888
xut -> 0x000000007f891570
| mkdir dumps mkdir files volatility -f 'Windows 7-1a1299dc.vmem' --profiles=Win7SP1x86 dumpfiles -Q 0x000000007fc8b888 -n -D files volatility -f 'Windows 7-1a1299dc.vmem' --profiles=Win7SP1x86 dumpfiles -Q 0x000000007f891570 -n -D files |
dumpfiles 해서 얻은 파일들 중, img는 이미지 섹션 오브젝트에서 dat는 데이터섹션오브젝트에서... 내용적으로는 큰 차이X
Virustotal에 올려보면 둘 다 악성코드
본 게시글은 아래의 강의를 시청하고 공부 목적으로 작성됨.
[지금 무료]기초부터 따라하는 디지털포렌식 강의 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 '물 흐르듯, 자연스럽게' 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
'슈포스 > 디지털 포렌식 개론' 카테고리의 다른 글
| [8장]파일 시스템과 파일 복구(1) (2) | 2024.11.19 |
|---|---|
| [강의]인프런 : 기초부터 따라하는 디지털 포렌식 섹션3(2) (0) | 2024.11.11 |
| [7장]디지털 증거 분석 기술 (2) | 2024.11.05 |
| [6장]디지털 증거 수집 기술 (0) | 2024.11.05 |
| [강의]인프런 : 기초부터 따라하는 디지털 포렌식 섹션3(1) (1) | 2024.11.05 |