[운영체제 식별]
메모리의 운영체제를 식별한다. imageinfo에서 확인한 Suggested Profiles 중 하나를 선택하여 명령어 뒤에 덧붙여서 사용한다. 해당 실습에서는 Win7SP1x86를 사용한다.
[프로세스 검색]
차례대로 pslist, psscan, pstree, psxview 명령어를 실행하여 출력 값을 파일로 저장한다.
pstree.log를 살펴보면 OlympicDestroy와 OlympicDestroy가 실행되면서 만들어진 _xut.exe, teikv.exe, ocxip.exe가 의심스럽다.
pslist.log를 살펴보면 OlympicDestroy와 _xut.exe, teikv.exe, ocxip.exe가 1초의 시간 간격을 두고 실행된 것을 확인할 수 있다.
[네트워크 분석]
netscan 명령어를 사용하여 네트워크 분석을 진행한다.
netscan.log를 살펴보면 Local Address인 192.168.111.130과 Remote Address인 192.168.111.128를 확인할 수 있다.
[CMD 분석]
차례대로 cmdline, cmdscan, consoles 명령어를 실행하여 출력 값을 파일로 저장한다.
cmdline.log를 살펴보면 C:\Windows\System32\OlympicDestroyer3.exe와 C:\Users\VM\AppData\Local\Temp\_xut.exe를 확인할 수가 있다. 해당 경로에 있는 exe 파일에 대해 분석을 시도한다.
의심스러운 프로세스인 OlympicDestroy3.exe, _xut.exe, teikv.exe, ocxip.exe에 대해 분석을 진행한다.
[파일 분석 및 덤프]
filescan 명령어를 사용하여 메모리 내에 존재하는 모든 파일에 대한 정보를 출력한다.
Ctrl+f를 눌러 OlympicDestroyer3.exe를 검색한다.
dumpfiles 명령어를 사용하여 메모리 내에 존재하는 OlympicDestroyer3.exe를 추출하여 파일 형태로 저장한다. 이때, filescan.log에서 OlympicDestroyer3.exe가 위치하는 offset을 가져온다.
생성한 파일을 Virustotal에서 분석해보면 69개의 백신 중에서 43개의 백신이 이를 악성코드로 판단하고 있다. 다수의 백신이 악성코드로 판단했기에 확실한 증거로 볼 수 있다.
Ctrl+f를 눌러 _xut.exe를 검색한다.
dumpfiles 명령어를 사용하여 메모리 내에 존재하는 _xut.exe를 추출하여 파일 형태로 저장한다. 이때, filescan.log에서 _xut.exe가 위치하는 offset을 가져온다.
생성한 파일을 Virustotal에서 분석해보면 68개의 백신 중에서 52개의 백신이 이를 악성코드로 판단하고 있다. 다수의 백신이 악성코드로 판단했기에 확실한 증거로 볼 수 있다.
Ctrl+f를 눌러 teikv.exe를 검색한다.
dumpfiles 명령어를 사용하여 메모리 내에 존재하는 teikv.exe를 추출하여 파일 형태로 저장한다. 이때, filescan.log에서 teikv.exe가 위치하는 offset을 가져온다.
생성한 파일을 Virustotal에서 분석해보면 69개의 백신 중에서 56개의 백신이 이를 악성코드로 판단하고 있다. 다수의 백신이 악성코드로 판단했기에 확실한 증거로 볼 수 있다.
Ctrl+f를 눌러 ocxip.exe를 검색한다.
dumpfiles 명령어를 사용하여 메모리 내에 존재하는 ocxip.exe를 추출하여 파일 형태로 저장한다. 이때, filescan.log에서 ocxip.exe가 위치하는 offset을 가져온다.
생성한 파일을 Virustotal에서 분석해보면 68개의 백신 중에서 44개의 백신이 이를 악성코드로 판단하고 있다. 다수의 백신이 악성코드로 판단했기에 확실한 증거로 볼 수 있다.
Ctrl+f를 눌러 Olympic_Session_V10를 검색한다. 해당 파일의 확장자가 .xls이기 때문에 오피스 관련 프로세스인 OSPPSVC.EXE에 대하여 분석을 진행한다.
[프로세스 세부 분석]
OSPPSVC.EXE에 대해 메모리 덤프를 진행한다. 이때, pstree.log에서 OSPPSVC.EXE에 해당하는 PiD를 가져온다.
memdump 명령어를 사용하여 메모리 덤프를 실행한다. 프로세스가 사용한 전체 메모리 영역을 덤프해서 가져온다. 덤프된 파일에는 쓰레기 값들이 많이 존재한다. 따라서 쓰레기 값을 어느정도 제거한 다음에 파일을 살펴보기 위해 strings를 사용한다. 1700.dmp 파일을 strings를 사용해 strings_OSPPSVC.EXE.log 파일로 추출한다.
strings_OSPPSVC.EXE.log를 살펴보면 첨부파일인 Olympic_Session_V10를 확인할 수 있다. Olympic_Session_V10 파일을 실행하면 OSPPSVC.EXE가 실행되는 것으로 보인다
OlympicDestroy3.exe, _xut.exe, teikv.exe, ocxip.exe 파일에도 각각 strings를 사용해 파일로 추출한다.
strings_OlympicDestroy3.log를 살펴보면 공격 스크립트를 확인할 수 있다.
공격 스크립트 말고도 계정 및 패스워드 모음을 확인할 수 있다.
strings_xut.log에서도 공격 스크립트를 발견할 수 있다. 복구 관련 기능을 삭제, 부팅 관련 기능을 못하게하고, 이벤트 로그를 삭제하고 있다. 악성 프로세스가 해당 공격 스크립트를 본인을 감추기 위한 용도로 사용하고 있음을 추측할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Windows Registry 실습 (0) | 2022.07.23 |
|---|---|
| Registry 개념 및 실습 (0) | 2022.07.17 |
| CTF-d, GrrCon 2015 풀이 (0) | 2022.07.12 |
| Volatility Cridex 풀이 (0) | 2022.07.12 |
| 쉽게 따라하는 삭제 파일 복구 (0) | 2022.07.04 |
