imageinfo: 메모리의 운영체제를 식별
pslist: 시간 순서대로 출력
psscan: 숨김 프로세스를 볼 수 있음
pstree: PID, PPID 기반으로 구조화해서 보여줌
psxview: pslist,psscan을 한눈에 볼 수 있음, 숨김 프로세스 찾는 데에 사용
(windows xp에서 사용)
connections: 현재 연결된 TCP 통신에 대한 정보
sockets: 응답받기를 기다리고 있는 모든 프로토콜에 대한 socket 정보
window7에서는 netscan사용.
cmdline:프로세스가 실행될 때 인자값
cmdscan:우리가 콘솔에 입력한 값들을 실제로 볼 수 있음
consoles: 콘솔에서 입력, 출력한 값들을 실제로 볼 수 있음
-두 개 검색하는 메커니즘이 달라서 다른 정보가 나올수도 있음
filescan : 메모리 내에 존재하는 모든 파일에 대한 정보
dumpfiles: 프로세스의 메모리 덤프 추출 -> strings로 변환해서 키워드 검색
procdump: 프로세스의 exe 파일 추출
이미지 파일 1GB정도, 시간 오래 걸림.
Suggested Profile에서 아무거나 쓰래요..
처음 볼 때 가장 좋은건 PID와 PPID를 기준으로 알려주는 PS트리가 접근하기에 좋음. PS트리 보고 의심스러운 애를 찾기
검색해보면 뭔지 나옴.
mstsc: 컴퓨터 원격으로 고칠 때 사용하는 것. 의심스러움...
cmd는 명령 프로포트인데 explorer에서 연 것-> 의심해야 함.
OUTLOOK: 메일 관련 소프트웨어-> 메일 관련으로 악성코드 굉장히 많이 유포됨-> 의심해야 함.
iexplore 하위에 cmd 실행-> 의심해야 함.
훅,ipcport를 보고 이런 것이 의심스러움. 팀뷰어부터 봄.
메모리 덤프 생성
wc라는 프로그램이 컴퓨터에 들어와서 관리자PC의 계정 비밀번호와 사용자 계정의 비밀번호를 추출하고 기록으로 남긴게 w.tmp로 추정
-> 악성프로그램에 돌렸을 때 악성이 뜸
192.몇몇 공유기 주소임. 의심해야됨
tv_w32 파일 추출 후 악성 프로그램에 돌리기-> 1개 뜨는데 이거는 애매함.
exe 파일 추출 -> file scan, 모두 찾기로,다운로드 경로 아래 exe -> 터미널에서 dumpfiles에 Q 옵션, 파일 넣고, D 옵션, files, n 옵션
n옵션 주면 이름이 있어서 보기 편함.
메일 악성코드!!
Outlook mail-> AnyConnectinstaller.exe->wce.exe w.tmp(관리자 패스워드) -> mstsc.exe
악성 exe가 나오면 이를 뜯어보는 과정을 하기도 함-> 이것이 리버싱!!
GrrCon 2015 정리
운영체제 식별 -> Win7SP1X86
프로세스 검색
- Teamviewer 관련 프로세스 (tv_w32.exe)
- explorer 하위 프로세스(mstsc.exe, OUTLOOK.exe)
- 인터넷 익스플로러(iexplorer.exe, cmd.exe)
네트워크 분석
- 공격자 IP : 180.76.254.120:22
- PID: 2996(iexplorer.exe)
CMD 분석
- cmdline-> tv_w32.exe 의심-> 정상 프로세스
- cmdscan, consoles -> 악성 실행파일 발견
파일 분석
- wce.exe: 관리자 계정을 포함하여 패스워드를 가져오는 실행파일
- w.tmp: wce.exe의 실행 결과로 출력된 파일
- AnyConnectinstaller.exe: Outlook 메일로부터 출력된 실행파일
프로세스 세부 분석
- Outlook.exe의 메모리 덤프로부터 피싱 메일 발견 + Any...의 URL 확보
- iexplorer.exe 메모리 덤프로부터 공격의 흔적 발견
- Teamviewer 관련 프로세스는 정상 프로세스
분석결과)
침입 경로
-Outlook 피싱 메일을 통해 AnyConnectinstaller.exe 다운로드를 유도
악성 행위
- AnyConnectinstaller.exe 실행 파일 발견
- iexplorer.exe 내부에서도 공격 흔적 발견
- wce.exe 통해 관리자 패스워드를 가져오고 w.tmp 파일로 저장
추가 공격
- mstsc를 이용한 추가 공격 예상
추가 분석 가능한 부분들
- iexplorer.exe - procdump로 실행파일 살펴보기
-Outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기
- 공격자가 사용한 도구들과 구체적 행위 파악하기 (consoles.log)
- 공격자의 추가 공격 행위 파악 (mstsc, gideon)
Volatility Contest 2018
문제 다운로드 링크
https://drive.google.com/file/d/1Wwo1GJbidGFHdgSb72jzOVHwWWh_NHmk/view
OlympicDestroyer.zip
drive.google.com
시나리오 파일 분석)
배경: 올림픽 디스트로이어라는 악성코드가 유포되어 평창올림픽 웹사이트 중단.
메일로부터 온 첨부파일 확인하고 홈페이지 일정 업데이트-> 다음날 올림픽 서버 모두 중단
첨부 파일V10 통해 공격 당한걸로 추정
-프로세스 볼 때는 pstree부터 보는게 편리.
OlympicDestroy..의심. Wmi부터 의심.
OSPPSVC-> 엑셀 통한 침입. 의심
taskeng-> 작업 스케줄러. 의심
192.168.111.130 -> 로컬 ip
192.168.111.128 -> 원격 ip
디스트로이어3 파일 추출
DAT와 이미지의 차이점
오프셋에 대해 이미지 섹션 오브젝트에서 데이터를 빼오고 DAT는 데이터 섹션 오브젝트에서 빼옴
->추출 방식이 다름
악성!!
악성명령어를 입력한다고 해서 cmd 프로그램 자체가 악성 프로그램이 되는게 아님.
이 안에서 어떤 명령어를 입력했는지 봐야 함. 이런 부분을 보기 위해서는 메모리 덤프가 필요함.
어디에서 들어왔는가
- "Olympic_Session_V10_수정본.xls" -> OSPPSVC.exe
확실한 증거 x
4개 악성 프로세스
- olympicdestroyer -> 공격 스크립트 있었음. LDAP, 계정, 패스워드
-xut.exe -> 공격 스크립트 있었음. 복구 관련 기능 삭제, 부팅 관련 기능 못하게, 이벤트 로그 삭제
어떻게 나가는가(추가 공격)
-> LDAP, 계정, 패스워드같은 네트워크에 있는 컴퓨터 공격 의심
추가적으로 분석 가능한 부분들
-memdump -> strings
-> payload(BASE64) 공격에 사용되는 어떤 공격 명령어들을 말함.
-네트워크 -> LDAP 메모리 덤프에 있는지!