비전공자의 포렌식일기

문제를 보겠습니다. 문제를 보면, 프런트 데스크 PC를 손상시키기 위해서 도구를 옮겼다. 도구들은 무엇인가? 도구를 옮겼다는 것은, 컴퓨터 내부에 exe파일이 있음을 알고, dir에 나열된 모든 파일을 보기 위해서 consoles 플러그인을 사용했습니다. consoles 플러그인의 특징은 다음과 같습니다. cmdscam과 유사하게 콘솔 플러그인은 공격자가 cmd.exe에 입력하거나 백도어를 통해 실행한 명령을 찾습니다. 이 플러그인은 COMMAND_HISTORY를 검색하는 대신 CONSOLE_INFORMATION을 검색합니다. 이 플러그인의 주요 장점은 공격자가 입력한 명령을 인쇄할 뿐만 아니라 전체 화면 버퍼(입력 및 출력)를 수집한다는 것입니다. 예를 들어, "dir"을 보는 대신 "dir" 명령으로..

문제를 보겠습니다. 관리자 계정의 NTLM 암호 해시를 찾아야 하는데, volatility는 hash를 덤프해주는 hashdump 플러그인이 있습니다. hashdump는 SAM 파일을 추출할 때 쓰이는 명령이고, 사용자의 암호 해쉬값을 찾을 수 있습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 hashdump Flag : aad3b435b51404eeaad3b435b51404ee:79402b7671c317877b8b954b3311fa82

문제를 보겠습니다. 문제를 이해하기 어려웠지만, 계속 보니까 이해를 하게되었습니다. 쉽게 설명을 하자면 시스템에 악명 높은 해커의 정보가 존재한다. 즉, 시스템에 존재하는 사용자 계정 중 하나일것으로 추정이 되고, 그 사용자명이 나오는 영화의 이름이 무엇인지 찾는 것이다. 그럼 사용자 계정을 보기 위해서는 레지스트리에서 SAM 파일을 뜯어봐야 되는데, 굳이 그러지 않아도 mft 파일을 뜯어보면 파일, 메타 데이터 등 다양한 정보들을 저장하고 있기 때문에 mftparser 플러그인을 사용해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > mftparser.csv 데이터가 엄청 많기 때문에 csv로 ..

문제를 보겠습니다. 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는다는 문제인데, 이 문제에 대한 키워드는 Mutex입니다. 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex라한다. Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 뮤텍스는 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 기능입니다. volatility에서는 mutex를 분석할 수 있는 플러그인이 있습니다. Mutant, Mutan..

문제를 보겠습니다. 지금까지 분석을 했던 내용을 복습을 하자면, 비밀번호가 담긴 파일들은 이메일에 첨부되었던 파일, 인젝션 된 프로세스 등으로 분석대상을 좁힐 수 있고, C&C 서버는 일반적으로 감염된 좀비PC가 해커의 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버로 바이러스를 감염시키는 것은 인젝션된 프로세스라는 점을 볼 때, 5번에서 풀었던 프로세스 안에 비밀번호가 담겨 있을 가능성이 있다. memdump 플러그인을 통해서 메모리 파일에 존재하는 iexplore.exe 파일을 추출하겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 memdump -p 2996 -D ./ 추출된 것을 확인..

문제를 보겠습니다. 재부팅 후에도 지속성을 유지하기 위해 사용하고 있는 레지스트리는 Microsoft\Windows\CurrentVersion\Run의 경로에 저장되어 있음을 파악할 수 있었습니다. 그럼 바로 printkey 플러그인을 통해서 찾아 보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 printkey -K "Microsoft\Windows\CurrentVersion\Run" 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 ..

문제를 보겠습니다. 문제를 보면 프로세스 인젝션을 사용하는 것으로 보인다고 한다. 프로세스 인젝션에 대해서 간략히 설명을 드리자면, 악성코드 및 파일 없는 공격자 트레이드크래프트(Fileless Adversary Tradecraft)에서 자주 사용되는 광범위한 방어 회피 기술입니다. 예로 인터넷 익스플로러를 떠올려 보겠습니다. 과거 매그니베르 악성코드는 인터넷 익스플로러 프로세스에 Injection하여(Fileless) 사용자의 PC에 악성 파일을 남기지 않고 파일들을 암호화하는 행위를 했습니다. 이처럼 정상적인 프로세스에 숨어 있는? 악성파일 입니다. pstree 플러그인을 사용해서 보겠습니다. pstree를 분석했을 때는 솔직히 파악하기 힘들 것 같습니다. 그래서 똑같이 익스플로러를 실행시켜서 Pro..

문제를 보겠습니다. 공격자가 피싱 공격에 성공한 정황을 미루어보면 2번 문제에서 봤던 AnyConnectInstaller.exe 파일이 피싱 공격에 사용된 것으로 보인다. filescan 플러그인을 사용해서 해당 파일이 저장 됐는지 확인을 해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr "AnyConnectInstaller.exe" 명령어를 보시면 | 와 findstr을 넣어줬는데, 저는 windows powershell에서 분석을 진행하고 있기 때문에 findstr로 문자열을 찾았습니다. 결과를 확인하면 AnyConnectInstaller.exe 파일이 저장된 흔적이 발견됩니다...

1번 문제를 풀었던 파일로 계속해서 풀어보겠습니다. 문제를 보면 프론트 데스크 직원들의 이메일로 보낸 파일의 이름을 구해야 하는데, 아까 1번에서 봤던 메모장을 다시 확인하겠습니다. 이메일의 본문 내용 아래를 보면 첨부파일의 URL 주소가 있고, IP 주소 뒤에 첨부파일명인 AnyConnectInstaller.exe가 존재하는 것을 볼 수 있다. FLAG : AnyConnectInstaller.exe

문제를 보겠습니다. 문제의 파일로 Target1-1dd8701f.vmss 파일이 주어지는데, 이 중 vmss파일은 VMware Suspended State File의 약자로 가상 소프트웨어로 만들어진 파일. 즉, 가상 시스템이 일시적으로 중단된 상태일 때의 가상 시스템 상태를 저장합니다. 메모리 포렌식을 공부하기 전, volatility 도구를 설치해야 하는데, 설치 방법은 생략하겠습니다. 문제를 풀기 전, vmss 파일의 메모리 정보를 확인하기 위해 imageinfo를 사용했습니다. volatility2.6.exe -f Target1-1dd8701f.vmss imageinfo 파일을 분석했을 때, Windows 7 운영체제에서 사용된 메모리로 보입니다. 다음, 어떤 프로그램들이 실행됐는지(실행되고 있는..