디지털포렌식 (19) 썸네일형 리스트형 Defcon #21ㅡ2 - 네트워크 포렌식 문제 : 접선 장소를 찾아라. networkminer로 문제(pcap)를 열어보면 messages 에서 접선 장소를 위한 패스워드("S3cr3tVV34p0n")와 데이터 전송 방법("DCC SEND ...")을 확인 할 수 있다. DCC는 IRC 프로토콜을 이용한 채팅 프로그램으로, DCC SEND [파일명] [IP] [PORT] [파일크기] 형식으로 사용한다. gitstack - 메모리 포렌식 인증서 비밀번호와 악성 코드를 찾아라 Pstree 인증서는 ssl에서 사용하므로 openssl 프로그램에 HTTPS를 인증하기 위한 비밀번호가 적혀있을 것으로 생각된다. cmd 자식 프로세스에 mimikatz는 단순히 윈도우 계정 암호 탈취를 위해 사용한 것으로 추측된다. 이는 악성코드가 아닌 크랙 도구라고 하는게 맞다. 하지만 부모 프로세스인 powershell에서 다른 행위를 했을 가능성이 있으므로 의심해 볼 여지가 있다. 우선 openssl을 추출하여 명령 실행 이력이 있는지 확인한다. Memdump -> strings -> openssl.exe openssl 명령어에 인증서 비밀번호("boI3jss2")가 적혀있다. 인증 이후 gitstack과 관련된 취약점 악용, 파워쉘을 통해 특정 명령어를 수.. HFS - 메모리 포렌식 pstree VBS(VisualBasicScript) 바이러스는 wscript.exe를 실행할 때 같이 사용된다. hfs(http file server) 2.3 버전에 존재하는 원격코드 실행 취약점을 이용해 악성 행위를 하는 파일들을 생성하지 않았을까 의심된다. hfs를 추출해보니 보안에 취약한 2.3 버전을 사용하고 있었다. 해당 버전에 어떤 취약점이 존재하는지 확인해보자. ExploitDB에서 "hfs 2.3"을 검색하면 관련된 예제 코드를 확인할 수 있다. https://www.exploit-db.com/exploits/34668 문제 이미지와 동일한 환경을 구축한 뒤 윈도우7에 gitstack 2.3 웹 서비스를 올린다. gitstack의 검색 창(search) 혹은 URL에다가 원격으로 위 예제.. [CTF]Grrcon 2015 메모리 포렌식 #3 ① 악성코드 이름과 C&C 주소를 찾아라 # netscan svchost 는 시스템 서비스인데 웹 접속을 하고 있으므로 이 프로세스가 변조가 되었을 것이라 의심 가능하다. 그러나 해당 프로세스에서는 바이러스가 검출되지 않으므로 svchost가 참조하는 dll을 찾아본다. # ldrmodules -p 288 test.DLL의 파일명과 실행경로가 의심되므로 malfind로 변조된 내용이 있는지 확인한다. test.dll을 추출해서 바이러스 토탈에 확인한 결과 백도어로 검출된다. # dlldump -p 288 -b 0x00000000737d0000 -D . [CTF]Grrcon 2015 메모리 포렌식 #2 IIS 서버에서 실행되는 웹쉘 파일 이름과 웹쉘 코드, 웹쉘의 행위는? # volatility -f MF_CTF4.vmss --profile=Win2012R2x64 pstree IIS 서버의 실행파일은 w3wp.exe다. 여러 프로세스 중 cmd를 자식으로 가지는 5492 프로세스가 의심스럽다. 해당 프로세스가 cmd를 열어서 어떤 악성 명령어를 실행하려는 의도가 있을 가능성이 크기 때문이다. 5492가 사용하는 모든 메모리 공간을 dump하면 시간이 매우 오래 걸리므로, 자식 프로세스인 9248만 dump하여 string으로 추출한다. # volatility -f MF_CTF4.vmss --profile=Win2012R2x64 memdump -p 9248 -D . IIS의 웹페이지 확장자인 asp, a.. [CTF]Grrcon 2015 메모리 포렌식 #1 ① 회사의 안내 desk에 근무하는 직원이 수상한 이메일을 확인하여, 악성코드 감염이 의심된다. 보낸사람의 이메일 주소와 접속주소, 첨부파일을 찾아라. pstree 이메일 서비스와 관련된 프로세스(OUTLOOK.EXE)가 사용하는 모든 메모리 공간을 추출한다. # volatility -f MF_CTF1.vmss --profile=Win7SP1x86_23418 memdump -p 3196 --dump-dir=./ Strings로 추출한 내용에서 각각 이메일, URL 형식을 나타내는 키워드를 검색한다. zeus - 메모리 포렌식 ி 프로세스 기초 분석 connscan & pstree connscan으로 확인했을 때 svchost.exe(856) 프로세스가 웹 접속을 유지하고 있다. svchost는 시스템 프로세스로, 웹 접속을 하는 경우가 없으므로 악성코드에 의해 변조된 프로세스라 의심된다. ி 레지스트리 분석 악성코드는 부팅할 때마다 재시작하여 연결을 유지하려고 하므로 , 시작 프로그램에 수상한 실행파일이 등록되었는지 확인한다. # volatility -f MemoryForensic5.vmem --profile=WinXPSP2x86 printkey -K "Microsoft\Windows NT\CurrentVersion\Winlogon" sdra64.exe가 분석의 대상이다. ி mutext 분석 ➽ mutex(mutual ex.. Banking Troubles - 메모리 포렌식 Volatility는 운영체제마다 다른 플러그인을 사용하기 때문에 imageinfo로 해당 이미지의 운영체제 정보를 얻어야 한다. Vol 도구를 사용할 때마다 Suggested Profile(s) 정보를 --profile 옵션에 입력한다. ி 프로세스 기초 분석 # volatility -f MemoryForensic4.vmem --profile=WinXPSP2x86 pstree firefox와 AcroRd32가 부모/자식관계인 것으로 보아 firefox 사용 중 acrobat reader(pdf viewer)를 실행한 것으로 추측된다. 인터넷을 이용하였기 때문에 웹 접속 기록이 있을 것이므로 이를 connscan으로 확인해본다. # volatility -f MemoryForensic4.vmem --pro.. 1 2 3
