CTF-D, GrrCon 2015 정리 & 추가 분석

운영체제 식별

• Win7SP1x86

​

프로세스 검색

• TeamViewer 관련 프로세스 (tv_w32.exe)
• explorer 하위 프로세스 (mstsc.exe-원격접속 , outlook.exe-메일)
• 인터넷 익스플로러 (iexplorer.exe , cmd.exe)

​

네트워크 분석

• 공격자 IP : 180.76.354.120:22
• PID : 2996 (iexplorer.exe)

​

cmd 분석

• cmdline -> tv_w32.exe 의심 -> 그러나 조사결과 정상
• cmdscan, consoles -> 악성 실행파일 발견 (wce.exe)

​

파일 분석

• wce.exe : 관리자 계정을 포함하여 패스워드를 가져오는 실행파일
• w.tmp : wce.exe의 실행 결과로 출력된 파일
• anyconnectinstaller.exe : outlook 메일로부터 출력된 실행파일

​

프로세스 세부 분석

• outlook.exe의 메모리 덤프로부터 피싱메일 발견 (Hello Mr.Wellick .. )

+ anyconnectinstaller.exe의 url 확보

• iexplorer.exe 메모리 덤프로부터 공격의 흔적 발견
• teamviewer 관련 프로세스는 정상 프로세스로 판단

​

침입 경로

• outlook 피싱 메일을 통해 anyconnectinstaller.exe 다운로드를 유도

​

악성 행위

• anyconnectinstaller.exe 실행파일 발견
• iexplorer.exe 내부에서도 공격의 흔적 발견
• wce.exe를 통해 관리자 패스워드를 가져오고 w.tmp 파일로 저장함

​

추가 공격

• mstsc를 이용한 추가 공격 예상

​

+) 추가 분석 가능한 부분들

• iexplorer.exe 추가 분석 - procdump로 실행파일 살펴보기
• outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기
• 공격자가 사용한 도구들과 구체적 행위 파악하기 + hint: consoles.log 살펴보기
• 공격자의 추가 공격 행위 파악 + hint : mstsc, gideon

​