Volatility Cridex Forensic

command line 명령어

- cmdscan, consoles - 콘솔에 입력한 값들을 볼 수 있음 , consoles 는 출력도 볼 수 있음

 

- cmdline - 프로세스가 실행될 때 인자값

cmdscan consoles에서는 아무것도 발견되지 않았으나 cmdline에서는 내용 발견

아까 의심스러웠던 reader관련 부분을 읽어보지만 경로만 보이고 딱히 나오는 정보는 없음

 

filescan

filescan / 메모리 내에 존재하는 모든 파일에 대한 정보

 

많은 내용을 모두 살펴볼 수 없으므로 검색기능을 이용하여 아까 의심스러웠던 프로세스를 검색

 

해당 내용이 있는 곳으로 가서 오프셋을 복사하여 가져옴

 

해당 명령어를 사용하면 메모리 내에 reader_sl 을 뽑아온것을 확인 가능

dumpfiles / 프로세스의 메모리 덤프 추출 -> strings로 변환해서 키워드 검색

 

virustotal 에서 뽑아낸 자료를 붙여넣어 검색

​

68개의 백신검사중 2개에서 악성코드일지도 모른다고 나옴 애매한 결과..

 

<네트워크 정보 확인>

connections / 연결된 tcp통신 출력

connections 명령어

pid는 1484

일반적으로는 여러개가 나오는 경우가 많으나 해당 문제는 출제자가 이 경로를 지정하기 위해 임의로 다른 경로를 삭제한듯함

1484 pid를 지닌 explorer과 1484 ppid를 가진 reader_sl, 두개의 프로세스가 의심스러움

​

memdump 명령어를 통해 reader_sl.exe 의 메모리 영역을 1640.dmp라고 저장하는 것

​

hxD에 dmp 파일을 푼 모습 쓰레기 값이 많이 보임

​

sysinternal suite 환경변수 설정 후 strings 명령어 사용

 

strings_1640 파일 확인 가능

​

strings 1640에서 의심스러웠던 프로세스의 ip 주소를 검색함 ​

​

반복되는 웹사이트의 주소가 등장함 해커의 웹사이트 주소로 추정됨

 

 

유독 bank가 포함된 결과가 많은것으로 보아 은행관련 피싱 추정

 

!!! reader_sl.exe -> (악성 pdf 문서) -> 취약점 -> url 접속 -> 은행 관련 피싱 추정 !!!

​

+) 프로세스에서 직접 뽑아내는 방법 - procdump

/ 이전 방식은 offset에서 뽑아냄

procdump / 프로세스의 exe 파일 추출 ​

 

 

악성코드가 확실한지 윈도우즈 보안이 작동되고 생성한 파일은 바로 삭제됨

-> 바이러스 및 위협 방지 설정에서 실시간 보호 끄고 다시 실행

virustotal에 실행파일 던지기 ​

​

반 이상의 백신에서 걸러졌으니 악성코드가 확실합니다..