반응형
ி 프로세스 기초 분석
connscan & pstree
svchost는 시스템 프로세스로, 웹 접속을 하는 경우가 없으므로 악성코드에 의해 변조된 프로세스라 의심된다.
ி 레지스트리 분석
시작 프로그램에 수상한 실행파일이 등록되었는지 확인한다.
# volatility -f MemoryForensic5.vmem --profile=WinXPSP2x86 printkey -K "Microsoft\Windows NT\CurrentVersion\Winlogon"
sdra64.exe가 분석의 대상이다.
➽ mutex(mutual exclusion, mutant, 상호 배제)
여러 프로세스가 하나의 공유자원에 접근하는 것을 막는 방법이며 lock-unlock 방식으로 구현된다.
실행중인 프로세스에 lock을 걸면 다른 프로세스가 읽고 쓰지 못한다.
뮤텍스(Mutex)는 악성코드가 기존에 감염됐던 시스템인지 확인하여 중복 실행을 방지하기 위한 목적으로 사용된다.
mutantscan 을 통해 악성 프로세스가 생성한 mutex가 있는지 점검한다.
# volatility -f MemoryForensic5.vmem --profile=WinXPSP2x86 mutantscan
ி mutext 분석
➽ mutex(mutual exclusion, mutant, 상호 배제)
여러 프로세스가 하나의 공유자원에 접근하는 것을 막는 방법이며 lock-unlock 방식으로 구현된다.
실행중인 프로세스에 lock을 걸면 다른 프로세스가 읽고 쓰지 못한다.
뮤텍스(Mutex)는 악성코드가 기존에 감염됐던 시스템인지 확인하여 중복 실행을 방지하기 위한 목적으로 사용된다.
mutantscan 을 통해 악성 프로세스가 생성한 mutex가 있는지 점검한다.
# volatility -f MemoryForensic5.vmem --profile=WinXPSP2x86 mutantscan
AVIRA 이름의 mutex가 다른 mutex와 다르게 이름만으로는 어떤 목적인지 파악하기 어렵다.
따라서 AVIRA mutex를 인터넷에 검색하여 확인해보자.
검색 결과는 아래 내용과 같다.
따라서 AVIRA mutex를 인터넷에 검색하여 확인해보자.
검색 결과는 아래 내용과 같다.
Zbot 트로이 목마는 AVIRA라는 뮤텍스를 생성한다.
이후 멀웨어 파일(sdra64.exe)을 부팅 시작 레지스트리에 등록하고 방화벽을 무력화시킨다.
반응형
'디지털포렌식' 카테고리의 다른 글
| [CTF]Grrcon 2015 메모리 포렌식 #2 (0) | 2020.08.21 |
|---|---|
| [CTF]Grrcon 2015 메모리 포렌식 #1 (0) | 2020.08.21 |
| Banking Troubles - 메모리 포렌식 (0) | 2020.08.21 |
| stuxnet - 메모리 포렌식 (0) | 2020.08.19 |
| Volatility 도구를 이용한 메모리 포렌식 (0) | 2020.08.19 |
