반응형
① 악성코드 이름과 C&C 주소를 찾아라# netscan
svchost 는 시스템 서비스인데 웹 접속을 하고 있으므로 이 프로세스가 변조가 되었을 것이라 의심 가능하다.
그러나 해당 프로세스에서는 바이러스가 검출되지 않으므로 svchost가 참조하는 dll을 찾아본다.# ldrmodules -p 288
test.DLL의 파일명과 실행경로가 의심되므로
malfind로 변조된 내용이 있는지 확인한다.
malfind로 변조된 내용이 있는지 확인한다.
test.dll을 추출해서 바이러스 토탈에 확인한 결과 백도어로 검출된다.
# dlldump -p 288 -b 0x00000000737d0000 -D .
# dlldump -p 288 -b 0x00000000737d0000 -D .
악성코드명 : Korplug
C&C : svchost에서 80번 port로 연결을 유지하는 IP인 52.90.110.169
C&C : svchost에서 80번 port로 연결을 유지하는 IP인 52.90.110.169
② 압축을 시도한 파일의 압축 비밀번호를 찾아라 conhost.exe 프로세스는 cmd와 연계되어 동작하고 입력한 명령을 받아 수행/출력하는 역할을 한다.
마우스클릭만으로 압축을 했다면 로그가 남기 어렵지만 cmd에서 압축을 진행했을 가능성도 배제할 수 없다.
conhost.exe 파일 내에 단서를 확인하기 위해 압축 파일 확장자인 .zip 또는 .rar 등을 검색한다.
conhost.exe - memdump -> strings
.rar로 검색한 결과
마우스클릭만으로 압축을 했다면 로그가 남기 어렵지만 cmd에서 압축을 진행했을 가능성도 배제할 수 없다.
conhost.exe 파일 내에 단서를 확인하기 위해 압축 파일 확장자인 .zip 또는 .rar 등을 검색한다.
conhost.exe - memdump -> strings
.rar로 검색한 결과
password1234로 압축하는 것을 확인할 수 있다.반응형
'디지털포렌식' 카테고리의 다른 글
| gitstack - 메모리 포렌식 (0) | 2020.08.26 |
|---|---|
| HFS - 메모리 포렌식 (0) | 2020.08.21 |
| [CTF]Grrcon 2015 메모리 포렌식 #2 (0) | 2020.08.21 |
| [CTF]Grrcon 2015 메모리 포렌식 #1 (0) | 2020.08.21 |
| zeus - 메모리 포렌식 (0) | 2020.08.21 |
