침해사고 분석 및 대응 - 2일차 과제

메모리 : infected.raw

1. 서버IP와 공격자IP를 구하시오.

2. 악성 파일과 경로를 구하시오.

메모리 : mem.raw

3. 해당 메모리의 OS, Build Number, Product Number를 구하시오.

---

1. 서버IP와 공격자IP를 구하시오.

[그림 1] volatility 툴을 이용하여 netscan 명령어를 실행했을 때 모습

Ubuntu 20.04에서 volatility 툴을 이용해 서버IP와 공격자IP를 구하고자 다음과 같이 명령어를 입력하였다.

$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 netscan

 

[그림 1]에서 local address에 나와 있는 IP 주소가 모두 192.168.236.146이므로 서버IP는 192.168.236.146이다. 빨간색 박스로 표시된 부분에서는 IP가 192.168.236.130인 외부인이 SYN 패킷을 보낸 상태와 Tor.exe라는 의심스러운 파일 이름을 볼 수 있다. 

[그림 2] Volatility 툴을 이용하여 pstree 명령어를 실행했을 때 모습

Tor.exe 파일의 PPID(Parent PID)를 보기 위해 아래와 같이 명령어를 적어주었다.

$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 pstree

 

pstree 구조에서 Tor.exe 앞에 . 또는 ..이 찍혀 있지 않아 상위 프로세스가 존재하지 않음을 알 수 있다. Tor.exe 파일의 PPID는 1396인데, PID가 1396인 파일도 보이지 않는다. 또한, Time line에서 상위에 있는 파일들은 대부분 비슷한 시간대로 나타나는데 Tor.exe를 포함한 몇몇 파일은 시간대가 확연히 다르게 나타난다.

 

[1번 문제 정답]

- 서버IP : 192.168.236.146

- 공격자IP : 192.168.236.130

 

2. 악성 파일과 경로를 구하시오.

[그림 3] Volatility 툴을 이용하여 dlllist 명령어를 실행했을 때 모습

Tor.exe의 절대경로를 찾기 위해 dlllist 명령어를 이용해 다음과 같이 입력했다.$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 dlllist -p 600

 

[2번 문제 정답]

- 악성 파일 : Tor.exe

- 경로 : C:\Windows\system32\svchost.exe

 

 

그 외 주요 명령어를 실행했을 때 나오는 모습을 살펴보겠다.

[그림 4] Volatility 툴을 이용하여 malfind 명령어를 실행했을 때 모습

명령어 malfind의 목적은 기본적인 메서드/도구들이 보지 못하는 DLL의 위치를 찾아내는 것이다.

$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 malfind -p 600

(malfind : 사용자 모드 형태로 은폐되어 있거나 인젝션된 코드 또는 DLL 정보를 분석하는 명령어)

 

[그림 5] Volatility 툴을 이용하여 cmdscan 명령어를 실행했을 때 모습

cmd에서 실행한 명령어를 확인하고 싶다면 cmdscan을 이용해 아래와 같이 입력할 수 있다.

$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 cmdscan

 

[그림 6] Volatility 툴을 이용하여 cmdline 명령어를 실행했을 때 모습

cmd에서 실행한 명령어 이력을 확인하고자 할 때에는 cmdline을 사용한다.

$ python2 vol.py -f ../memory/infected.raw --profile=Win7SP1x64 cmdline

 

 

3. 해당 메모리의 OS, Build Number, Product Version을 구하시오.

 

[3번 문제 정답]

- OS : macOS

- Build Number : 18E226

- Product Version : Mojave 10.14.4