비전공자의 포렌식일기

문제를 보겠습니다. 문제를 이해하기 어려웠지만, 계속 보니까 이해를 하게되었습니다. 쉽게 설명을 하자면 시스템에 악명 높은 해커의 정보가 존재한다. 즉, 시스템에 존재하는 사용자 계정 중 하나일것으로 추정이 되고, 그 사용자명이 나오는 영화의 이름이 무엇인지 찾는 것이다. 그럼 사용자 계정을 보기 위해서는 레지스트리에서 SAM 파일을 뜯어봐야 되는데, 굳이 그러지 않아도 mft 파일을 뜯어보면 파일, 메타 데이터 등 다양한 정보들을 저장하고 있기 때문에 mftparser 플러그인을 사용해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 mftparser > mftparser.csv 데이터가 엄청 많기 때문에 csv로 ..

문제를 보겠습니다. 악성코드는 종종 고유한 값 또는 이름을 사용해서 시스템에서 자체 복사본 하나만을 실행 하도록 하는데, 해당 파일에서의 멀웨어가 사용하는 고유 이름(고유한 값)을 찾는다는 문제인데, 이 문제에 대한 키워드는 Mutex입니다. 고유한 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Malware Mutex라한다. Malware Mutex를 간단하게 이야기를 하면 뮤텍스는 변수와 같은 리소스에 대한 동시 액세스를 피하기 위해 일반적으로 사용하는 프로그램 객체입니다. 뮤텍스는 일반적으로 동일한 멀웨어의 다른 인스턴스에 의한 시스템 감염을 피하기 위해서 멀웨어 생성자가 사용하는 기능입니다. volatility에서는 mutex를 분석할 수 있는 플러그인이 있습니다. Mutant, Mutan..

문제를 보겠습니다. 지금까지 분석을 했던 내용을 복습을 하자면, 비밀번호가 담긴 파일들은 이메일에 첨부되었던 파일, 인젝션 된 프로세스 등으로 분석대상을 좁힐 수 있고, C&C 서버는 일반적으로 감염된 좀비PC가 해커의 원하는 공격을 수행하도록 원격지에서 명령을 내리거나 악성코드를 제어하는 서버로 바이러스를 감염시키는 것은 인젝션된 프로세스라는 점을 볼 때, 5번에서 풀었던 프로세스 안에 비밀번호가 담겨 있을 가능성이 있다. memdump 플러그인을 통해서 메모리 파일에 존재하는 iexplore.exe 파일을 추출하겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 memdump -p 2996 -D ./ 추출된 것을 확인..

문제를 보겠습니다. 재부팅 후에도 지속성을 유지하기 위해 사용하고 있는 레지스트리는 Microsoft\Windows\CurrentVersion\Run의 경로에 저장되어 있음을 파악할 수 있었습니다. 그럼 바로 printkey 플러그인을 통해서 찾아 보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 printkey -K "Microsoft\Windows\CurrentVersion\Run" 하위에 키가 2개가 존재 하는데 하나는 VMware에서 사용하는 vmtools관련 레지스트리 키인 VMware User Process 이고, 나머지 하나는 악성코드 관련 실행 파일인 AnyConnectInstall.exe 가 사용하는 ..

문제를 보겠습니다. 문제를 보면 프로세스 인젝션을 사용하는 것으로 보인다고 한다. 프로세스 인젝션에 대해서 간략히 설명을 드리자면, 악성코드 및 파일 없는 공격자 트레이드크래프트(Fileless Adversary Tradecraft)에서 자주 사용되는 광범위한 방어 회피 기술입니다. 예로 인터넷 익스플로러를 떠올려 보겠습니다. 과거 매그니베르 악성코드는 인터넷 익스플로러 프로세스에 Injection하여(Fileless) 사용자의 PC에 악성 파일을 남기지 않고 파일들을 암호화하는 행위를 했습니다. 이처럼 정상적인 프로세스에 숨어 있는? 악성파일 입니다. pstree 플러그인을 사용해서 보겠습니다. pstree를 분석했을 때는 솔직히 파악하기 힘들 것 같습니다. 그래서 똑같이 익스플로러를 실행시켜서 Pro..

문제를 보겠습니다. 공격자가 피싱 공격에 성공한 정황을 미루어보면 2번 문제에서 봤던 AnyConnectInstaller.exe 파일이 피싱 공격에 사용된 것으로 보인다. filescan 플러그인을 사용해서 해당 파일이 저장 됐는지 확인을 해보겠습니다. volatility2.6.exe -f Target1-1dd8701f.vmss --profile=Win7SP1x86_23418 filescan | findstr "AnyConnectInstaller.exe" 명령어를 보시면 | 와 findstr을 넣어줬는데, 저는 windows powershell에서 분석을 진행하고 있기 때문에 findstr로 문자열을 찾았습니다. 결과를 확인하면 AnyConnectInstaller.exe 파일이 저장된 흔적이 발견됩니다...

1번 문제를 풀었던 파일로 계속해서 풀어보겠습니다. 문제를 보면 프론트 데스크 직원들의 이메일로 보낸 파일의 이름을 구해야 하는데, 아까 1번에서 봤던 메모장을 다시 확인하겠습니다. 이메일의 본문 내용 아래를 보면 첨부파일의 URL 주소가 있고, IP 주소 뒤에 첨부파일명인 AnyConnectInstaller.exe가 존재하는 것을 볼 수 있다. FLAG : AnyConnectInstaller.exe

문제를 보겠습니다. 문제의 파일로 Target1-1dd8701f.vmss 파일이 주어지는데, 이 중 vmss파일은 VMware Suspended State File의 약자로 가상 소프트웨어로 만들어진 파일. 즉, 가상 시스템이 일시적으로 중단된 상태일 때의 가상 시스템 상태를 저장합니다. 메모리 포렌식을 공부하기 전, volatility 도구를 설치해야 하는데, 설치 방법은 생략하겠습니다. 문제를 풀기 전, vmss 파일의 메모리 정보를 확인하기 위해 imageinfo를 사용했습니다. volatility2.6.exe -f Target1-1dd8701f.vmss imageinfo 파일을 분석했을 때, Windows 7 운영체제에서 사용된 메모리로 보입니다. 다음, 어떤 프로그램들이 실행됐는지(실행되고 있는..

혼공단 6기를 수료하였고, 다시 8기로 돌아오긴 했는데 이미 vs가 설치가 되어있기 때문에 과정은 생략하겠습니다. 01.1 프로그램과 C언어 프로그램은 일의 순서를 뜻합니다. 즉, 우리가 영화 프로그램을 본다고 가정했을 때 순서는 다음과 같습니다. 1. 영화관을 간다. 2. 티켓을 산다. 3. 간식을 산다. 4. 상영실에 입장한다. 5. 영화를 본다. 이렇게 순서를 나뉘어 볼 수 있는데, 이런 방법은 한글로 적어놨기 때문에 컴퓨터가 이해를 할 수 없는 표현입니다. 그래서 우리가 배우는 프로그래밍 언어는 컴퓨터가 이해할 수 있는 정확한 표현의 규칙을 정의해 놓은 언어입니다. 01.1.1 C언어의 장점 C언어의 장점은 크게 3가지로 분류가 됩니다. 1. 시스템 프로그래밍이 가능합니다. - ..

이번에 연구를 진행했던 포렌식은 웹 브라우저 포렌식에 관한 내용인데, 정리를 하고자 작성을 시작했습니다. 1. 개요 웹 브라우저 분석을 진행하게 된 이유는 포렌식 관점에서 매우 중요하기 때문입니다. 그 이유는 사용자들이 자주 사용하는 웹 브라우저의 아티팩트를 분석할 경우 사용자의 관심사 또는 범죄 사건에 필요한 각종 단서(URL, 자주 검색한 키워드, 다운로드) 등을 파악할 수 있습니다. 침해사고 분석 시에도 웹 브라우저를 분석하는 것은 중요합니다. 왜냐면 악성 파일의 유입 경로가 사용자들이 크랙버전을 다운 받거나 악성코드가 심어져있는 악성 문서가 메일로와서 다운을 받게 됩니다. 이때 다운받은 파일들의 경로들이 웹 브라우저 로그에 저장되어 있으니 악성 코드 감염 유입 경로를 파악할 수 있는 정보를 얻을 ..