728x90
Volatility
- 메모리 포렌식 도구, 오픈소스, CLI 인터페이스
- 버전 2주로 사용 (버전 3까지 공개됨) ▶ 오픈소스이므로 안전성의 문제
* CLI 인터페이스(command-line interface_명령 줄 인터페이스) : 가상 터미널 또는 터미널을 통해 사용자와 컴퓨터가 상호 작용하는 방식. 즉, 작업 명령은 사용자가 컴퓨터 키보드 등을 통해 문자열의 형태로 입력하며, 컴퓨터로부터의 출력 역시 문자열의 형태로 주어짐.
volatility 명령어 정리
[ 운영체제 식별 ]
- imageinfo : 메모리 덤프의 운영체제를 식별
[ Process 검색 ]
- pslist : 시간 순서대로 보여줌 ▶ 시간 흐름을 파악하기 좋은 명령어
- psscan : 숨겨진 프로세스 출력 가능
- pstree : PID, PPID 기준으로 구조화해서 보여줌 ▶ 구조화해서 보여주기 때문에 가시성이 높다는 장점
- psxview : pslist, psscan을 한눈에 볼 수 있음, 숨김 프로세스 찾는 데에 사용
* PID : 운영체제가 각 프로세스를 식별하기 위해 부여된 프로세스 식별번호(PID, Process IDentification)
* PPID : PPID(Parent Process ID)는 부모 프로세스의 PID
출처: https://bowbowbow.tistory.com/16 [멍멍멍:티스토리]
[ Network 분석 ]
{ netscan }
- Windows 7 이상에서 동작
- TCP, UDP 프로토콜로 이루어지는 모든 통신 조회 / IPv4, IPv6까지 지원가능
- Listening (소켓을 열고있는 상태), Established (소켓이 열려서 통신중인 상태), Closed (소켓이 닫힘)
{ connections }
- Windows 7 미만에서 사용
- 현재 연결된 TCP 통신에 대한 정보 ▶ Established 상태만 출력
{ Sockets }
- Windows 7 미만에서 사용
- TCP, UDP 를 포함한 모든 프로토콜 출력
- 현재 Listening 상태에 있는 소켓 출력
[ cmd 분석 ]
- cmdline : 프로세스가 실행될 때 인자값을 확인할 수 있음
- cmdscan : csrss.exe(Windows 7 이전), conhost.exe(Windows 7 이후)의 메모리를 검색하여 cmd에서 실행한 명령을 조회
- consoles : cmdscan과 유사하지만, 조회하는 개체가 조금 다름. 전체 screen buffer를 스캔하여, input과 output을 모두 획득할 수 있음.
[ 파일 분석 및 덤프 ]
- filescan : 메모리 내에 존재하는 모든 파일들의 리스트 출력
- dumpfiles : 파일을 덤프. 옵션으로 메모리 주소, 프로세스 줄 수 있음
[ 프로세스 세부 분석 ]
- memdump : 특정 프로세스의 메모리 영역을 덤프 ≫ strings (의미있는 문자열들을 뽑아줌) 사용
- procdump : 프로세스의 실행 파일을 추출
[ 악성 프로그램 식별 ]
- virustotal 주로 사용
- Windows Defender(윈도우 백신 프로그램)도 정확한 편임
Volatility Cridex 정리
- 운영체제 식별 : WinXPSP2x86
- 프로세스 검색 : reader_sl.exe(1640)가 수상한 프로세스로 의심됨
- 네트워크 분석 : 공격자 IP_41.268.5.140:8080 // PID : 1484(explorer.exe)
- CMD 분석 ≫ 결과 없음
- 파일 분석 및 덤프 : filescan 결과로부터 reader_sl.exe를 추출함. dumpfiles를 이용하여 추출하고 Virustotal에 검색했더니 애매한 결과가 나옴
- 프로세스 세부 분석
- procdump 이용하여 reader_sl.exe 실행파일 추출 ≫ Virustotal 검색 ≫ 악성파일임을 판별
- memdump 이용하여 reader_sl.exe 메모리 영역을 덤프 ≫ strings 명령어 이용 ≫ 수상한 URL 발견
[ 분석결과 정리 시, 중요한 것 ]
- 침입경로가 무엇인지
- 어떤 악성행위를 했는지
- 추가 공격의 정황이 있는지
Cridex 분석 결과
- 침입경로 : 확인 불가
- 악성 행위
- 악성 프로세스 'reader_sl.exe' (PID : 1640) 식별
- 외부 통신 IP '41.168.5.140:8080' 발견
- 프로세스 덤프 후 Virustotal 검색 결과 ≫ 악성 프로세스 확인
- 프로세스 메모리 덤프 내부에서 수상해보이는 단서 확보
[참고자료] 인프런_'기초부터 따라하는 디지털포렌식' 강의
728x90
'Security > Digital Forensic' 카테고리의 다른 글
[CTF-d/Mutimedia] '저는 플래그를 이 파일에..' (0) | 2023.03.26 |
---|---|
Chapter 03. 윈도우 포렌식, 깊게 들어가기(1)_Windows Registry 개요 (0) | 2022.11.19 |
Chapter 02. 침해사고 대응기법(3)_OlympicDestroyer (0) | 2022.11.19 |
Chapter 02. 침해사고 대응기법(1) (0) | 2022.11.07 |
Chapter 01. 디지털 포렌식 도입 (0) | 2022.11.07 |