2주차 활동으로는 섹션 2(디스크 마운트, 메모리 덤프) ~ 섹션 3 (Volatility Cridex 풀이(2)) 강의를 듣고 실습을 해보았다.
1. 디스크 마운트란?
- 정의: 물리적 저장 장치(하드 드라이브, SSD 등)을 시스템에 연결하여 데이터를 접근하는 과정.
- 목적: 디스크에 저장된 데이터를 읽어내어 분석하기 위함.
- 주요 절차:
- 쓰기 방지 장치를 사용하여 무결성 유지
- 포렌식 이미징: 원본 디스크의 정확한 복제본을 생성하여 분석
- 파일 시스템 분석: 삭제된 파일, 로그, 숨겨진 파ㅌ션 등을 탐색
- 사용 도구: Encase, FTK Imager 등
아래는 FTK Imager를 이용하여 디스크 마운트를 진행하는 과정이다.
2. 메모리 덤프
- 정의: 시스템의 RAM에 저장된 데이터를 그대로 복사하는 작업.
- 목적: 휘발성 데이터를 추출하여 분석하고, 실시간 프로세스, 네트워크 상태, 암호화 키, 악성코드 등을 추적
- 주요 절차:
- 시스템이 꺼지기 전 RAM에 있는 실시간 데이터를 덤프하여 보존.
- 메모리에 상주하는 악성코드 흔적 등 휘발성 데이터 확보
- 덤프된 메모리에서 실시간 프로세스, 네트워크 연결, 열린 파일 등을 분석
- 사용 도구: FTK Imager 등
파일 이미지 위에 빨간색 X 표시가 되어 있는 파일이 삭제된 파일이다.
마우스 오른쪽 -> import를 눌러 저장 경로만 설정해주면 삭제된 파일도 복구가 가능하다.
Volatility Cridex?
1. Volatility
- 정의: 메모리 덤프 분석을 위한 오픈 소스 도구
- 기능: 실행 중인 프로세스, 네트워크 연결, 메모리에 주입된 악성코드 등을 탐지.
- 사용 목적: 메모리에 남아 있는 악성코드 및 활동 흔적 분석
- 주요 플러그인:
- pslist: 실행 중인 프로세스 목록 확인
- netscan: 네트워크 연결 상태 확인
- dlllist: 프로세스에 로드된 DLL 확인
- malfind: 메모리에서 악성코드 주입 흔적 탐지.
2. Cridex
- 정의: 금융 기관을 타켓으로 하는 은행 트로이 목마 악성코드
- 특징:
- 봇넷으로 시스템을 감염시켜 범죄자가 원격 조작 가능
- 웹 인젝션을 사용해 사용자 브라우저 세션에서 인증 정보 등 민감한 데이터 탈취
- 자기 복제를 통해 네트워크 상에서 확산
- 주요 활동
- 감염된 시스템의 브라우저에서 사용자의 금융 정보를 가로챔
- 감염된 컴퓨터를 봇넷의 일부로 만들어 네트워크 상에서 악성 행위 수행
3. Volatility를 이용한 Cridex 분석 절차
- 메모리 덤프 생성:
- Cridex 감염이 의심되는 시스템의 RAM 덤프를 확보
- FTK Imager 같은 도구 사용
- Volatility 분석:
- pslist로 Cridex 관련 악성 프로세스 확인
- netscan으로 의심스러운 네트워크 연결 탐지
- dlllist로 악성 DLL 주입 여부 확인
- malfind 로 메모리 내 악성코드 주입 탐지
- Cridex 활동 탐지:
- 브라우저 프로세스에서 Cridex가 데이터를 탈취하기 위한 인젝션 여부 확인
- 악성 네트워크 연결 및 프로세스 주입 흔적을 추적해 추가 정보 분석
결론
- Volatility: 메모리에서 Cridex 같은 악성코드를 탐지하고 분석하는 강력한 도구
- Cridex: 금융 정보를 타겟으로 하는 위험한 트로이 목마로, 메모리 분석을 통해 탐지하고 차단하는 것이 중요하다.
'4-1. 2024-2 심화 스터디 > 디지털 포렌식 1팀' 카테고리의 다른 글
| [6주차] 디지털포렌식 1팀 - 디보 (0) | 2024.11.18 |
|---|---|
| [1주차] 디지털 포렌식 기초 개념 및 도구 (0) | 2024.11.16 |
| [5주차] 디지털 포렌식 1팀 - 디보 (0) | 2024.11.16 |
| [4주차] 디지털 포렌식 1팀 - 디보 (2) | 2024.11.03 |
| [3주차] 디보 -(디지털 포렌식 1팀) (0) | 2024.10.02 |
