본문 바로가기
4-1. 2025-1 심화 스터디/디지털 포렌식

[2025.03.29] 포렌시크_3주차_활동

hauni 2025. 3. 29. 12:44

GrrCon 풀이

  1. imageinfo로 운영체제 식별
  2. log 출력(pslist, psscan, pstree, psxview, connections, netscan, cmdline, cmdscan)
  3. Notepad++에서 모든 로그를 선택해서 보기
  4. pstree를 보고 의심스러운 프로세스 찾기 → mstsc.exe(원격 데스크탑), outlook.exe(메일), iexplorer.exe(인터넷 익스플로러), teamviewer
  5. teamviewer가 의심스러우므로 PID를 따서 메모리 덤프 memdump -p 4064 -D .\\dumps\\
  6. netscan으로 의심스러운 ip찾기 → 10.1.1.2x로 attacker로 의심되는 ip 발견
  7. outlook.exe를 메모리 덤프하면 내부 메일 원본이 보일 것으로 예상 memdump -p 3196 -D .\\dumps\\ → strings.exe .\\dumps\\3196.dmp strings_3196.log
  8. tv_w32.exe(teamviewer)도 추출 dumpfiles -Q 0x~~~~ -D .\\files\\ -n → virustotal 검사 결과 X
  9. iexplorer.exe도 메모리 덤프
  10. outlook 결과 악성코드가 담긴 메일을 확인
  • connections: 현재 연결된 TCP 통신에 대한 정보
  • sockets: 응답받기를 기다리고 있는 모든 프로토콜에 대한 socket 정보
  • netscan: 위의 모든 것을 보여줌
  • cmdline: 프로세스가 실행될 때 인자값
  • cmdscan: 콘솔에 입력한 값을 실제로 볼 수 있음
  • consoles: 콘솔에서 입력&출력한 값을 실제로 볼 수 있음

Volatility

메모리 포렌식 도구

  • 명령어
    • 운영체제 식별
      • imageinfo: 메모리 덤프의 운영체제를 식별
    • 프로세스 검색
      • pslist: 시간 순서대로 보여줌
      • psscan: 숨겨진 프로세스 출력 가능
      • pstree: PID, PPID 기준으로 구조화하여 보여줌
      • psxview: pslist, psscan을 포함한 도구들의 결과를 한눈에 볼 수 있음
    • 네트워크 분석
      • netscan
      • connections: 현재 연결된 TCP 통신에 대한 정보
      • sockets: 현재 listening 상태에 있는 소켓을 출력
    • CMD 분석
      • cmdscan, consoles: 콘솔에 입력한 값을 볼 수 있음
      • cmdline: 프로세스가 실행될 때의 인자값을 확인할 수 있음
    • 파일 분석 및 덤프
      • filescan: 메모리 내에 존재하는 모든 파일들의 리스트 출력
      • dumpfiles: 파일을 덤프. 옵션으로 메모리 주소, 프로세스 줄 수 있음
    • 프로세스 세부 분석
      • memdump: 특정 프로세스의 메모리 영역을 덤프 → strings 사용
      • procdump: 프로세스의 실행파일을 추출

cridex

  • 운영체제 식별
    • WinXPSP2x86
  • 프로세스 검색
    • reader_sl.exe(1640) 수상한 프로세스…
  • 네트워크 분석
    • 공격자 IP: 41.168.5.140:8080
    • PID: 1484(explorer.exe)
  • CMD 분석: 결과 X
  • 파일 분석 및 덤프
    • filescan 결과로부터 reader_sl.exe 추출
    • dumpfiles 이용하여 추출 → virustotal 검색 → 애매
  • 프로세스 세부 분석
    • procdump 이용하여 reader_sl.exe 실행파일 추출 → virustotal 검색 → 찾음!
    • memdump 이용하여 reader_sl.exe 메모리 영역 덤프 → strings 명령어 이용 → 수상한 url 발견
  • 침입 경로: 확인 불가
  • 악성 행위
    • 악성 프로세스 “reader_sl.exe” 식별
    • 외부 통신 IP “41.168.5.140:8080” 발견
    • 프로세스 덤프 후 virustotal 검색 결과 → 악성 프로세스 확인
    • 프로세스 메모리 덤프 내부에서 수상해보이는 단서 확인

'4-1. 2025-1 심화 스터디 > 디지털 포렌식' 카테고리의 다른 글

[2025.04.05] 포렌시크_4주차_활동  (0) 2025.04.05
[2025.03.22] 포렌시크_2주차_활동  (1) 2025.03.22

'4-1. 2025-1 심화 스터디/디지털 포렌식' Related Articles

티스토리툴바