운영체제 식별 결과 : WinXPSP2x86
프로세스 검색 결과 : reader_sl.exe(1640)가 수상한 프로세스로 보임
네트워크 분석 결과 :
reader_sl.exe의 PID를 가진 줄에서 공격자 IP로 보이는 41.168.5.140:8080 확인
PID : 1484(explorer.exe)
cmd 분석 결과 : 특이사항 없음
파일 분석 및 덤프 :
filecan 결과 reader_sl.exe 추출
dumpfiles 이용하여 추출 -> virustoal에 검색 -> 확실히 바이러스라고 보기에는 애매한 결과 얻음
프로세스 세부 분석 :
procdump 이용하여 reader_sl.exe 실행파일 추출 -> virustoal에 검색 -> 악성코드 판정
memdump 이용하여 reader_sl.exe 메모리 영역 덤프 -> strings 명령어 이용 -> 문자열 탐색 결과 수상한 url 발견, 은행 관련 문자열 발견
분석 결과
침입 경로 : 확인 불가
악성 행위 :
악성 프로세스 'reader_sl.exe'(PID : 1640) 식별
외부 통신 IP 41.168.5.140:8080 발견
프로세스 덤프 후 virustoal 검색 결과 -> 악성 프로세스 확인
프로세스 메모리 덤프 내부에서 수상한 단서 확보
추가 공격 : 확인 불가
추가 분석 가능 부분
explorer.exe 프로세스 분석
IP 추적 -> Whois에 조회해보기
레지스트리 추출 - 자동 실행 관련 분석
explorer.exe 메모리 덤프 내부에 웹페이지 소스코드(HTML) 추출 후 파일로 만들어서 분석
'해킹 공부 > 디지털 포렌식' 카테고리의 다른 글
| OlympicDestroyer - Volatility Contest 2018 문제풀이 정리 (0) | 2022.07.17 |
|---|---|
| CTF-d GrrCon 문제 풀이 정리 (0) | 2022.07.17 |
| Volatility 명령어 정리 (0) | 2022.07.17 |
| 퀴즈 오답노트 (0) | 2022.07.10 |
| section 1) 도구 실습_삭제된 파일 복구 (0) | 2022.07.07 |