비전공자의 포렌식일기

문제를 보겠습니다. 지금까지 분석을 했던 내용을 복습을 하자면, 비밀번호가 담긴 파일들은 이메일에 첨부되었던 파일, 인젝션 된 프로세스 등으로 분석대상을 좁힐 수 있고, C&C 서버는 일반적으로 감염된 좀비PC가 해커의 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버로 바이러스를 감염시키는 것은 인젝션된 프로세스라는 점을 볼 때, 5번에서 풀었던 프로세스 안에 비밀번호가 담겨 있을 가능성이 있다. memdump 플러그인을 통해서 메모리 파일에 존재하는 iexplore.exe 파일을 추출하겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 memdump -p 2996 -D ./ 추출된 것을 확인..

문제를 보겠습니다. 재부팅 후에도 지속성을 유지하기 위해 사용하고 있는 레지스트리는 Microsoft\Windows\CurrentVersion\Run의 경로에 저장되어 있음을 파악할 수 있었습니다. 그럼 바로 printkey 플러그인을 통해서 찾아 보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 printkey -K "Microsoft\Windows\CurrentVersion\Run" 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 ..

문제를 보겠습니다. 문제를 보면 프로세스 인젝션을 사용하는 것으로 보인다고 한다. 프로세스 인젝션에 대해서 간략히 설명을 드리자면, 악성코드 및 파일 없는 공격자 트레이드크래프트(Fileless Adversary Tradecraft)에서 자주 사용되는 광범위한 방어 회피 기술입니다. 예로 인터넷 익스플로러를 떠올려 보겠습니다. 과거 매그니베르 악성코드는 인터넷 익스플로러 프로세스에 Injection하여(Fileless) 사용자의 PC에 악성 파일을 남기지 않고 파일들을 암호화하는 행위를 했습니다. 이처럼 정상적인 프로세스에 숨어 있는? 악성파일 입니다. pstree 플러그인을 사용해서 보겠습니다. pstree를 분석했을 때는 솔직히 파악하기 힘들 것 같습니다. 그래서 똑같이 익스플로러를 실행시켜서 Pro..

문제를 보겠습니다. 공격자가 피싱 공격에 성공한 정황을 미루어보면 2번 문제에서 봤던 AnyConnectInstaller.exe 파일이 피싱 공격에 사용된 것으로 보인다. filescan 플러그인을 사용해서 해당 파일이 저장 됐는지 확인을 해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr "AnyConnectInstaller.exe" 명령어를 보시면 | 와 findstr을 넣어줬는데, 저는 windows powershell에서 분석을 진행하고 있기 때문에 findstr로 문자열을 찾았습니다. 결과를 확인하면 AnyConnectInstaller.exe 파일이 저장된 흔적이 발견됩니다...

1번 문제를 풀었던 파일로 계속해서 풀어보겠습니다. 문제를 보면 프론트 데스크 직원들의 이메일로 보낸 파일의 이름을 구해야 하는데, 아까 1번에서 봤던 메모장을 다시 확인하겠습니다. 이메일의 본문 내용 아래를 보면 첨부파일의 URL 주소가 있고, IP 주소 뒤에 첨부파일명인 AnyConnectInstaller.exe가 존재하는 것을 볼 수 있다. FLAG : AnyConnectInstaller.exe

문제를 보겠습니다. 문제의 파일로 Target1-1dd8701f.vmss 파일이 주어지는데, 이 중 vmss파일은 VMware Suspended State File의 약자로 가상 소프트웨어로 만들어진 파일. 즉, 가상 시스템이 일시적으로 중단된 상태일 때의 가상 시스템 상태를 저장합니다. 메모리 포렌식을 공부하기 전, volatility 도구를 설치해야 하는데, 설치 방법은 생략하겠습니다. 문제를 풀기 전, vmss 파일의 메모리 정보를 확인하기 위해 imageinfo를 사용했습니다. volatility2.6.exe -f Target1-1dd8701f.vmss imageinfo 파일을 분석했을 때, Windows 7 운영체제에서 사용된 메모리로 보입니다. 다음, 어떤 프로그램들이 실행됐는지(실행되고 있는..