운영체제 식별결과 : Win7SP1X86
프로세스 검색 결과 :
의심스러운 프로세스들 발견
Teamviewer 관련 프로세스 (tv_w32.exe)
explorer 하위 프로세스 (mstsc.exe(원격 접속), OUTLOOK.exe(메일))
인터넷 익스플로러(iexplorer.exe, cmd.exe) -> cmd가 달려있는 기형적인 모양
네트워크 분석결과 :
공격자로 추정되는 IP : 180.76.254.120:22
PID : 2996(iexplorer.exe)
cmd 분석 결과 :
cmdline 결과 tv_w32.exe가 수상해 조사해보니 정상 프로세스로 확인됨
cmdscan, consoles 결과 악성 실행파일 wce.exe 발견
파일 분석 결과 :
wce.exe : 관리자 계정을 포함하여 패스워드를 가져오는 실행파일
w.tmp : wce.exe의 실행 결과로 출력된 파일
AnyConnectInstaller.exe : Outlook 메일로부터 출력된 실행파일
프로세스 세부 분석 결과 :
Outlook.exe의 메모리 덤프로부터 피싱 메일 발견(Hello Mr.Wellick ...) + AnyConnectInstaller.exe의 url확보
iexplorer.exe의 메모리 덤프로부터 공격의 흔적 발견
Teamviewer 관련 프로세스는 정상 프로세스로 판단함
분석 결과 :
침입 경로 : Outlook 피싱 메일을 통해 AnyConnectInstaller.exe 다운로드 유도
악성 행위 :
AnyConnectInstaller.exe 실행파일 발견
iexplorer.exe 내부에서도 공격 흔적 발견
wce.exe를 통해 관리자 비밀번호를 가져오고 w.tmp파일로 저장
추가 공격 : mstsc를 통한 추가 공격 예상됨
추가 분석 가능한 부분 :
iexplorer.exe 추가 분석 - procdump로 실행파일 살펴보기(strings 등)
Outlook 메모리 덤프로부터 공격자 이메일, 피해자 이메일 찾아보기, 시간 데이터 확인해보기
공격자가 사용한 도구들과 구체적 행위 파악하기 - consoles.log 살펴보고 실행파일 확인해보기
공격자의 추가 공격 행위 파악 - mstsc, gideon 관련해서 찾아보기
'해킹 공부 > 디지털 포렌식' 카테고리의 다른 글
| OlympicDestroyer - Volatility Contest 2018 문제풀이 정리 (0) | 2022.07.17 |
|---|---|
| Volatility Cridex 풀이 정리 (0) | 2022.07.17 |
| Volatility 명령어 정리 (0) | 2022.07.17 |
| 퀴즈 오답노트 (0) | 2022.07.10 |
| section 1) 도구 실습_삭제된 파일 복구 (0) | 2022.07.07 |