침해사고 분석 및 대응 - NV001.E01 풀이

0. 조사 대상 구하기 (해당 PC의 IP 주소, 사용자 계정, 운영체제 버전)

1. 사용된 악성코드의 종류는 무엇인가?

2. 최초로 다운로드 된 악성코드의 경로 및 파일은 무엇인가?

3. 암호화된 파일의 확장자는 무엇인가?

4. 총 암호화된 파일의 개수는 몇 개인가?

5. 해당 PC는 hosts 파일이 변조 되어있다. 어떤 웹사이트에 접속하다가 감염이 되었는가?

6. 악성코드를 다운로드하는 html 파일과 유포하는 IP 주소는 무엇인가?

7. 문제의 html로 리다이렉트 시키는 악성 자바스크립트 파일은 무엇인가?

8. 어떤 취약점을 사용하여 악성코드를 유포하였는가?

9. 해당 취약점은 어떤 프로그램을 사용하였는가?

10. 악성코드 실행 후 시스템에 서비스가 설치되고 시작 프로그램에 등록되었다. 해당 비정상 프로그램의 이름은 무엇인가?

---

0. 조사 대상 구하기 (해당 PC의 IP 주소, 사용자 계정, 운영체제 버전)

본격적인 조사에 앞서 조사 대상에 대해 먼저 살펴보겠다. REGA.exe로 조사 대상의 정보를 살펴볼 수 있는데, 이를 위해서는 Hive 파일이 필요하다. Hive 파일은 FTK Imager에서 Image 파일인 NV001.E01을 불러온 후 export하여 사용할 수 있다.

[그림 1] FTK Imager에서 Add Evidence Item 클릭

FTK Imager를 실행한 뒤 File -> Add Evidence Item을 클릭한다.

 

[그림 2] Image File 선택 후 다음 클릭

Image File을 선택한 후 다음으로 넘어간다.

 

[그림 3] Browse로 NV001.E01 파일 경로 선택 후 Finish 클릭

Browse로 NV001.E01 파일 경로를 선택하고, Finish를 클릭한다.

 

[그림 4] NV001.E01 파일의 Evidence Tree

NV001.E01 이미지 파일의 Evidence Tree가 나타났다. [root] 폴더는 C: 드라이브이다.

 

[그림 5] Hive 파일을 Export Files를 클릭하여 추출

Hive 파일 경로는 C:\Windows\system32\config 에 있다. config 폴더를 찾아가 마우스 우클릭 후 Export Files를 선택한다.

 

[그림 6] export된 Hive 파일을 저장할 경로 선택 후 확인

export된 Hive 파일을 저장할 경로를 선택 후 확인을 클릭한다. 

 

Hive 파일은 레지스트리의 정보를 가지고 있는 물리적 파일이며 일반적인 방법으로는 접근이 불가하다. 레지스트리는 Disk가 아닌 Memory에 존재하며, 휘발성의 성질을 갖기 때문에 컴퓨터를 재부팅하면 사라진다. Live system이라면 바로 Memory dump를 수행하여 관련 정보를 확인할 수 있지만 Live System이 아닌 경우에는 레지스트리의 관련 정보를 확인할 수 없으므로 레지스트리의 주요 정보가 저장된 Hive 파일을 찾아 필요한 정보를 얻을 수 있다.

 

[그림 7] REGA.exe를 실행하여 레지스트리 분석 시작 클릭

REGA.exe를 실행하여 파일 -> 레지스트리 분석 을 클릭하여 레지스트리 파일 입력에서 export된 config 파일 경로를 선택하고 분석을 시작한다.

 

REGA.exe의 파일 -> 레지스트리 파일 수집 에서 Hive 파일을 수집하지 않고 FTK Imager에서 따로 config 파일을 export한 뒤 사용하는 이유는 REGA.exe에서는 현재 시스템의 레지스트리 파일만 수집이 가능하기 때문이다. 즉, 내 컴퓨터의 레지스트리가 아닌 NV001.E01 이라는 외부에서 획득한 이미지 파일의 레지스트리 분석을 위해 FTK Imager로 config 파일을 export한 것이다.

 

[그림 8] REGA.exe에서 조사 대상의 IP 주소 확인

REGA.exe에서 NV001.E01의 Hive 파일을 불러왔다면 우측의 네트워크 정보 -> TCP/IP 를 클릭하여 IP 주소를 확인할 수 있다.

 

[그림 9] 조사 대상의 사용자 계정 및 운영체제 버전 확인

REGA.exe의 우측에 윈도우 설치 정보 ->  윈도우 설치 정보 를 클릭하여 사용자 계정과 운영체제 버전을 확인할 수 있다.

 

[0번 문제 정답]

- IP 주소 : 192.168.250.135

- 사용자 계정 : global_001

- 운영체제 버전 : Windows 7 Ultimate

 

1. 사용된 악성코드의 종류는 무엇인가?

 

[1번 문제 정답]

- 랜섬웨어(ransomware)

 

2. 최초로 다운로드 된 악성코드의 경로 및 파일은 무엇인가?

 

[2번 문제 정답]

- 경로 : C:\ProgramData\Microsoft\WPD\lhdfrgui.exe

- 파일 : lhdfrgui.exe

 

3. 암호화된 파일의 확장자는 무엇인가?

[3번 문제 정답]

- 확장자 : WNCRY

 

4. 총 암호화된 파일의 갯수는 몇 개인가?

[그림 00] Excel에서 파일 확장자가 wncry로 끝나는 column만 필터링

암호화된 파일의 확장자는 WNCRY이다. 엑셀 sheet의 Column10을 끝자리 wncry로 필터링하면 [그림 00]과 같이 나타난다. 파일의 갯수는 좌측하단에 361개라고 명시되어 있다.

 

[4번 문제 정답]

- 파일의 갯수 : 361개

 

5. 해당 PC는 hosts 파일이 변조 되어있다. 어떤 웹사이트에 접속하다가 감염이 되었는가?

[5번 문제 정답]

- 웹사이트 : http://kik.kin.com (58.230.46.90)

 

6. 악성코드를 다운로드하는 html 파일과 유포하는 IP 주소는 무엇인가?

[6번 문제 정답]

- html 파일 : flower.html

- IP 주소 : 58.17.34.44

 

7. 문제의 html로 리다이렉트 시키는 악성 자바스크립트 파일은 무엇인가?

[7번 문제 정답]

- 악성 자바스크립트 파일 : chatliob304.js

 

8. 어떤 취약점을 사용하여 악성코드를 유포하였는가?

[8번 문제 정답]

- 취약점 CVE 코드 : CVE-2016-0189

 

9. 해당 취약점은 어떤 프로그램을 사용하였는가?

[9번 문제 정답]

- 프로그램 : PowerShell

 

10. 악성코드 실행 후 시스템에 서비스가 설치되고 시작 프로그램에 등록되었다. 해당 비정상 프로그램의 이름은 무엇인가?

 

[10번 문제 정답]

- 프로그램 : tipnttbg092