반응형
Volatility는 운영체제마다 다른 플러그인을 사용하기 때문에
imageinfo로 해당 이미지의 운영체제 정보를 얻어야 한다.
Vol 도구를 사용할 때마다 Suggested Profile(s) 정보를 --profile 옵션에 입력한다.
ி 프로세스 기초 분석
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 pstree
firefox와 AcroRd32가 부모/자식관계인 것으로 보아
firefox 사용 중 acrobat reader(pdf viewer)를 실행한 것으로 추측된다.
인터넷을 이용하였기 때문에 웹 접속 기록이 있을 것이므로 이를 connscan으로 확인해본다.
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 connscan
firefox 사용 중 acrobat reader(pdf viewer)를 실행한 것으로 추측된다.
인터넷을 이용하였기 때문에 웹 접속 기록이 있을 것이므로 이를 connscan으로 확인해본다.
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 connscan
acrobat reader가 80번 port와 연결을 유지하고 있다.
다른 port 라면, 업데이트 서버 연결 등으로 생각할 수 있으나,
acrobat reader가 웹 접속을 유지한다는게 의심된다.
acrobat reader가 사용중인 모든 메모리 공간을 추출한다.
다른 port 라면, 업데이트 서버 연결 등으로 생각할 수 있으나,
acrobat reader가 웹 접속을 유지한다는게 의심된다.
ி acrobat reader 분석
acrobat reader가 사용중인 모든 메모리 공간을 추출한다.
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 memdump -p 1752 --dump-dir=./
추출한 dmp 내부에 acrobat reader가 열고 있는 pdf 정보가 있을 확률이 매우 크다.
파일 카빙 방식 복구 툴인 Foremost를 설치하여
dmp 파일 내의 pdf를 추출한다.
➽ 설치 방법
Pdf 내에 악성 스크립트가 존재할 경우 주로 "javascript"라는 키워드가 포함되어 있다.
추출한 pdf 디렉터리로 이동하여 아래 명령을 수행한다.
파일 카빙 방식 복구 툴인 Foremost를 설치하여
dmp 파일 내의 pdf를 추출한다.
➽ 설치 방법
wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
tar -xvf foremost-1.5.7.tar.gz
cd foremost-1.5.5
make
make install
pdf 추출 : foremost -i 1752.dmp -t pdf
tar -xvf foremost-1.5.7.tar.gz
cd foremost-1.5.5
make
make install
pdf 추출 : foremost -i 1752.dmp -t pdf
Pdf 내에 악성 스크립트가 존재할 경우 주로 "javascript"라는 키워드가 포함되어 있다.
추출한 pdf 디렉터리로 이동하여 아래 명령을 수행한다.
# grep -i 'javascript' *.pdf
00601560.pdf에 해당 키워드가 존재하므로 yarascan를 이용하여
저 파일 메모리 영역에 포함된 문자열을 확인한다.
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 yarascan --yara-rules="javascript" -p 1752
열람한 pdf에 자바스크립트가 포함되어 있다.
특정 서버와 연결된 흔적이 있는지 확인하기 위해 URL을 검색해야 한다.
# strings -a -o -n 5 MemoryForensic4.vmem > 1752_pdf.strings
# volatility strings -s 1752_pdf.strings -f MemoryForensic4.vmem > result.strings
# cat result.strings | grep 1752 | grep http
특정 서버와 연결된 흔적이 있는지 확인하기 위해 URL을 검색해야 한다.
# strings -a -o -n 5 MemoryForensic4.vmem > 1752_pdf.strings
# volatility strings -s 1752_pdf.strings -f MemoryForensic4.vmem > result.strings
# cat result.strings | grep 1752 | grep http
이미지에서 모든 문자열을 가져와서 http://가 포함된 주소를 찾는다.
위 사진은 여러 조회된 URL 중에서 바이러스토탈이 멀웨어로 판단하고 있는 사이트만 추린 것이다.
따라서 저 주소로부터 악성 코드를 다운받는 스크립트가 존재하는 것으로 추측가능하다.
dumpregistry를 이용해서 모든 레지스트리 파일을 추출한다.
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 dumpregistry --dump-dir=./
Software 관련된 레지스트리를 REGA로 open한다.
부팅시 실행할 프로그램을 정의하는 레지스트리 목록은 다음과 같다.
위 사진은 여러 조회된 URL 중에서 바이러스토탈이 멀웨어로 판단하고 있는 사이트만 추린 것이다.
따라서 저 주소로부터 악성 코드를 다운받는 스크립트가 존재하는 것으로 추측가능하다.
ி 시스템 레지스트리 분석
# volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 dumpregistry --dump-dir=./
Software 관련된 레지스트리를 REGA로 open한다.
부팅시 실행할 프로그램을 정의하는 레지스트리 목록은 다음과 같다.
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Winlogon에 있는 sdra64.exe 가 의심되므로 해당 파일을 Dump하여 virustotal에 확인한 결과
악성코드로 검출된다.
악성코드로 검출된다.
요약하자면 사용자는 악성 pdf를 다운받고 열람하였더니 http://search-network~ 에서
sdra64.exe를 다운받아 침해 사고가 발생한 것으로 보인다.
sdra64.exe를 다운받아 침해 사고가 발생한 것으로 보인다.
반응형
'디지털포렌식' 카테고리의 다른 글
[CTF]Grrcon 2015 메모리 포렌식 #1 (0) | 2020.08.21 |
---|---|
zeus - 메모리 포렌식 (0) | 2020.08.21 |
stuxnet - 메모리 포렌식 (0) | 2020.08.19 |
Volatility 도구를 이용한 메모리 포렌식 (0) | 2020.08.19 |
손상된 파일시스템 복구 실습 (0) | 2020.08.05 |