본문 바로가기

4-1. 2024-2 심화 스터디/디지털 포렌식 1팀

[3주차] 디보 -(디지털 포렌식 1팀)

3주차에는 Volatility Cridex에 대해 스터디해보았다.

(*윈도우에서 보안 기능때문에 실행이 안 될 수 있으니 "바이러스 및 위협 방지"에 들어가서 환경설정을 변경해줘야 한다.)


Volatility

  • 메모리 포렌식 도구. 오픈소스. CLI 인터페이스( 메모리 관련 데이터를 수집해주는 도구라고 할 수 있다.)
  • 버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함.
  • Volatility에서 증거를 획득할 수 있는 이유임.

 

운영체제 식별

  • imageinfo: 메모리 덤프의 운영체제를 식별
  • 입력어 ) volatility -f <이미지> imageinfo

프로세스 검색

  • plist: 프로세서들의 리스트를 시간 순서대로 출력
  • pscan: 숨김 프로세스를 출력하여 볼 수 있음.
  • pstree: PID, PPID 기반으로 구조화해서 보여줌.
  • psview: pslist, psscan를 포함한 도구들의 결과를 한 눈에 볼 수 있는 의심스러운 프로세스들의 목록을 보여줌.

네트워크 분석

  • netscan
    • Windows 7 이상
    • TCP, UDP / IPv4, IPv6
    • Listening, Established, Closed
  • Connections
    • Windows 7 미만
    • 현재 연결된 TCP 통신에 대한 정보
  • Sockets
    • Windows 7 미만
    • TCP, UDP를 포함한 모든 프로토콜
    • 현재 Listening 상태에 있는 소켓을 출력

CMD 분석

  • cmdscan, consoles: 콘솔에 입력한 값들을 볼 수 있음.
  • cmdline: 프로세스가 실행될 때 인자값을 확인할 수 있음.

파일 분석 및 덤프

  • filescan: 메모리 내에 존재하는 모든 파일들의 리스트를 출력
  • dumpfiles: reader_sl.exe 추출/ 파일을 덤프, 옵션으로 메모리 주소, 프로세스를 줄 수 있음

프로세스 세부 분석

  • memdump: 특정 프로세스의 메모리 영역을 덤프 -> strings 사용
  • procdump: 프로세스의 실행 파일을 추출

악성 프로그램 식별

  • virustotal: (애매하다고 느껴질 때 주로 사용하는 것)
  • Windows Defender도 정확한 편임!

Cridex

  • 운영체제 식별
    • WinXPSP2x86
  • 프로세스 검색
    • 수상한 프로세스가 보임
  • 네트워크 분석
    • 공격자 IP
    • PID
  • CMD 분석 -> 결과 없음.
  • 파일 분석 및 덤프
    • filescan 결과로부터 reader_sl.exe 추출
    • dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매하다..??
  • 프로세스 세부 분석
    • procdump 이용하여 실행파일 추출
    • memdump 이용하여 메모리 영역을 덤프 (srings 명령어를 이용하여 수상한 URL들을 발견할 수 있음)

connections: 연결된 TCP 통신 출력

adobe -> PDF -> (PDF 문서를 통한 악성코드가 엄청 많다)

reader_sl.exe: 악성 PDF 문서 -> 취약점 -> URL 접속 -> 피싱 등을 파악할 수 있음(ex. 은행관련 피싱)