Volatiltity Cridex 정리 & 추가 분석

운영체제 식별

• WinXPSP2x86

​

프로세스 검색

• reader_sl.exe(1640)가 의심스러운 프로세스로 보임

​

네트워크 분석

• 공격자 ip : 41.168.5.140:8080
• PID : 1484 (explorer.exe)

​

cmd 분석 -> 결과 없음

​

파일 분석 및 덤프

• filescan 결과로부터 reader_sl.exe추출
• dumpfiles 이용하여 추출 -> virustotal 검색 -> 애매함

​

프로세스 세부 분석

• procdump 이용하여 reader_sl.exe 실행파일 추출 -> virustotal 검색 -> GOTCHA!!
• memdump 이용하여 reader_sl.exe 메모리 영역을 덤프 -> strings 명령어 이용 -> 수상한 url들 발견

​

침입 경로 > 확인 불가

​

악성 행위

• 악성 프로세스 'reader_sl.exe' (PID : 1640)
• 외부 통신 IP '41.168.5.140:8080' 발견
• 프로세스 덤프 후 Virustotal 검색 결과 -> 악성 프로세스 확인
• 프로세스 메모리 덤프 내부에서 수상해보이는 단서 확보

​

추가공격 > 확인 불가

​

+)

• explorer.exe프로세스 분석
• ip 추적 -> whois 조회
• 레지스트리 추출 - 자동 실행 관련 분석
• explorer.exe 메모리 덤프 내부에 웹페이지 소스코드 html 분석

​