3주차에는 Volatility Cridex에 대해 스터디해보았다.
(*윈도우에서 보안 기능때문에 실행이 안 될 수 있으니 "바이러스 및 위협 방지"에 들어가서 환경설정을 변경해줘야 한다.)
Volatility
- 메모리 포렌식 도구. 오픈소스. CLI 인터페이스( 메모리 관련 데이터를 수집해주는 도구라고 할 수 있다.)
- 버전 3까지 공개되어 있으나, 아직까지는 2를 많이 사용함.
- Volatility에서 증거를 획득할 수 있는 이유임.
운영체제 식별
- imageinfo: 메모리 덤프의 운영체제를 식별
- 입력어 ) volatility -f <이미지> imageinfo
프로세스 검색
- plist: 프로세서들의 리스트를 시간 순서대로 출력
- pscan: 숨김 프로세스를 출력하여 볼 수 있음.
- pstree: PID, PPID 기반으로 구조화해서 보여줌.
- psview: pslist, psscan를 포함한 도구들의 결과를 한 눈에 볼 수 있는 의심스러운 프로세스들의 목록을 보여줌.
네트워크 분석
- netscan
- Windows 7 이상
- TCP, UDP / IPv4, IPv6
- Listening, Established, Closed
- Connections
- Windows 7 미만
- 현재 연결된 TCP 통신에 대한 정보
- Sockets
- Windows 7 미만
- TCP, UDP를 포함한 모든 프로토콜
- 현재 Listening 상태에 있는 소켓을 출력
CMD 분석
- cmdscan, consoles: 콘솔에 입력한 값들을 볼 수 있음.
- cmdline: 프로세스가 실행될 때 인자값을 확인할 수 있음.
파일 분석 및 덤프
- filescan: 메모리 내에 존재하는 모든 파일들의 리스트를 출력
- dumpfiles: reader_sl.exe 추출/ 파일을 덤프, 옵션으로 메모리 주소, 프로세스를 줄 수 있음
프로세스 세부 분석
- memdump: 특정 프로세스의 메모리 영역을 덤프 -> strings 사용
- procdump: 프로세스의 실행 파일을 추출
악성 프로그램 식별
- virustotal: (애매하다고 느껴질 때 주로 사용하는 것)
- Windows Defender도 정확한 편임!
Cridex
- 운영체제 식별
- WinXPSP2x86
- 프로세스 검색
- 수상한 프로세스가 보임
- 네트워크 분석
- 공격자 IP
- PID
- CMD 분석 -> 결과 없음.
- 파일 분석 및 덤프
- filescan 결과로부터 reader_sl.exe 추출
- dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매하다..??
- 프로세스 세부 분석
- procdump 이용하여 실행파일 추출
- memdump 이용하여 메모리 영역을 덤프 (srings 명령어를 이용하여 수상한 URL들을 발견할 수 있음)
connections: 연결된 TCP 통신 출력
adobe -> PDF -> (PDF 문서를 통한 악성코드가 엄청 많다)
reader_sl.exe: 악성 PDF 문서 -> 취약점 -> URL 접속 -> 피싱 등을 파악할 수 있음(ex. 은행관련 피싱)
'4-1. 2024-2 심화 스터디 > 디지털 포렌식 1팀' 카테고리의 다른 글
[6주차] 디지털포렌식 1팀 - 디보 (0) | 2024.11.18 |
---|---|
[1주차] 디지털 포렌식 기초 개념 및 도구 (0) | 2024.11.16 |
[5주차] 디지털 포렌식 1팀 - 디보 (0) | 2024.11.16 |
[4주차] 디지털 포렌식 1팀 - 디보 (2) | 2024.11.03 |
[2주차] - 디보 (디지털 포렌식 1팀) (1) | 2024.09.30 |