HFS - 메모리 포렌식

pstree

VBS(VisualBasicScript) 바이러스는 wscript.exe를 실행할 때 같이 사용된다.
hfs(http file server) 2.3 버전에 존재하는 원격코드 실행 취약점을 이용해
악성 행위를 하는 파일들을 생성하지 않았을까 의심된다.

hfs를 추출해보니 보안에 취약한 2.3 버전을 사용하고 있었다.



해당 버전에 어떤 취약점이 존재하는지 확인해보자.
ExploitDB에서 "hfs 2.3"을 검색하면 관련된 예제 코드를 확인할 수 있다.
https://www.exploit-db.com/exploits/34668

문제 이미지와 동일한 환경을 구축한 뒤 윈도우7에 gitstack 2.3 웹 서비스를 올린다.

gitstack의 검색 창(search) 혹은 URL에다가 원격으로 위 예제 코드를 실행한다.



취약점으로 인해 hfs 서버에서 cmd.exe 창이 여러 개 실행된다.
나아가 msfconsole에서 hfs 모듈로 공격을 수행하면 아래와 같이 meterpreter shell을 획득할 수 있다.



따라서 hfs의 취약점을 이용하여 악성 파일을 배포했을 가능성이 높으니
그 하위 프로세스들을 모두 추출한다.

wscript.exe 자체는 악성 파일이 아니지만 하위 프로세스를 실행하는 명령이 들어있다.

memdump -> string -> .exe 검색

KrpiupKHRfOLo.exe를 추출하여 바이러스 토탈에 검사하면 멀웨어로 탐지된다.