O'bin and the Chocolate Factory

1. 시나리오 분석 악성코드 공격으로 평창올림픽 사이트가 중단된 사고가 실재했음 올림픽 담당자가 수신한 일정 업데이트 메일에 첨부된 파일 Olympic_Session_V10을 다운받고 실행함으로써 악성코드에 감염되었을것으로 보임 2. 시나리오에서 얻은 단서를 바탕으로 volatility 분석 시작 이미지 파일 폴더로 이동해 imageinfo로 운영체제 확인 분석 위한 log 파일들 생성 pstree.log파일에서 OlympicDestroy 프로세스 확인 정상 프로세스인 svchost에서 하위에 생성되는 프로세스들의 목록이 수상해보임 액셀을 통한 침입인 경우 위와 같은 마이크로소프트 오피스 관련 프로세스도 눈여겨 봐야 함 작업 스케줄러 프로세스는 악성코드가 침입하여 악성 프로그램을 작업스케줄러에 등록한 뒤..

운영체제 식별결과 : Win7SP1X86 프로세스 검색 결과 : 의심스러운 프로세스들 발견 Teamviewer 관련 프로세스 (tv_w32.exe) explorer 하위 프로세스 (mstsc.exe(원격 접속), OUTLOOK.exe(메일)) 인터넷 익스플로러(iexplorer.exe, cmd.exe) -> cmd가 달려있는 기형적인 모양 네트워크 분석결과 : 공격자로 추정되는 IP : 180.76.254.120:22 PID : 2996(iexplorer.exe) cmd 분석 결과 : cmdline 결과 tv_w32.exe가 수상해 조사해보니 정상 프로세스로 확인됨 cmdscan, consoles 결과 악성 실행파일 wce.exe 발견 파일 분석 결과 : wce.exe : 관리자 계정을 포함하여 패스워드..

운영체제 식별 결과 : WinXPSP2x86 프로세스 검색 결과 : reader_sl.exe(1640)가 수상한 프로세스로 보임 네트워크 분석 결과 : reader_sl.exe의 PID를 가진 줄에서 공격자 IP로 보이는 41.168.5.140:8080 확인 PID : 1484(explorer.exe) cmd 분석 결과 : 특이사항 없음 파일 분석 및 덤프 : filecan 결과 reader_sl.exe 추출 dumpfiles 이용하여 추출 -> virustoal에 검색 -> 확실히 바이러스라고 보기에는 애매한 결과 얻음 프로세스 세부 분석 : procdump 이용하여 reader_sl.exe 실행파일 추출 -> virustoal에 검색 -> 악성코드 판정 memdump 이용하여 reader_sl.exe..

Volatility 메모리 포렌식 도구, 오픈소스, CLI 인터페이스 버전 3까지 공개되었으나 아직 버전2를 많이 사용함 이 도구로 증거를 획득할 수 있는 이유 : 메모리에 올라온 프로세스 정보를 가져와 분석할 수 있음 명령어 목록 - 운영체제 식별 imageinfo : 메모리 덤프의 운영체제를 식별 - 프로세스 검색 pslist : 시간 순서대로 보여줌 psscan : 숨겨진 프로세스 출력 가능 pstree : PID, PPID 기준으로 구조화하여 보여줌 psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음 - 네트워크 분석 netscan : windows 7 이상 TCP, UDP 통신 조회 / IPv4, IPv46 지원 socket listening, establ..

0707 문제 : FTK Imager에서 디스크 마운트 및 증거 추가를 완료하였다. Evidence Tree 에서 삭제된 파일 리스트를 확인할 수 있는 폴더는? 나의 답 : Recycle.bin 정답 : root 해설 : 나의 답은 휴지통을 생각했는데, 그 전에 root 폴더에서 먼저 삭제된 파일들의 목록을 확인할 수 있다. 문제 : FTK Imager에서 메모리 덤프를 진행했는데 갑자기 노트북이 강제종료 되었다. 해당 오류를 해결하여 무사히 메모리 덤프를 진행하려면 어떻게 해야 하는가? 나의 답 : 커널 메모리 덤프 정보 사용 정답 : 가상화 모드 해제 해설 : 문제 이해를 잘못했다. 메모리 덤프 진행 도중 강제 종료되었을때 이어서 덤프를 진행하는 방법에 대한 질문으로 오해하고 커널 메모리 덤프 정보를..

1. FTK Imager 디스크 이미징 후 디스크 마운트를 통해 해당 디스크의 정보를 확인할 수 있다. FTK Imager로 해당 디스크에서 삭제된 파일을 확인할 수 도 있는데, 삭제된 파일은 붉은 x표시가 된 파일 그림으로 표시된다. 파일 사이즈가 0또는 1인 것으로 보아 내용은 남아있지 않고 파일 껍데기만 남은 것을 알 수 있다. Export Files를 눌러 삭제된 파일 복구를 진행한다. 왼쪽과 같은 복구 성공 메세지 확인 후 지정한 경로로 들어가 보면 삭제된 파일이 성공적으로 복구된 것을 볼 수 있다. 지정한 복구 위치에 해당 파일이 복구되었다. 앞서 예상한 것과 같이 파일 크기는 0으로 내용은 날아가고 단지 껍데기만 남은 파일이다. 2. autopsy로 디스크 이미징한 E01 파일 분석 결과 사..

디지털 포렌식 대상 : 컴퓨터, 디스크, 메모리, (네트워크 장비 등...) 디스크 이미징 : 디스크를 파일의 형태로 만들어 가져오는 것 디스크 마운트 : 디스크 이미징된 파일을 내 컴퓨터에 드라이브로 등록하는 것 메모리 덤프 : 특정 시점의 메모리 상태를 사진 찍듯이 가져오는 것, 켜져 있는 컴퓨터 수사 시 사용 디지털 포렌식 도구 설치 및 실습 1. FTK Imager 디스크 이미징, 마운트, 메모리 덤프 도구 physical drive -> next -> 드라이브 선택 -> finish Image Destination에서 Add.. 클릭 -> 이미지 타입 중 E01(더 압축된 타입임) 선택 -> Image Destionation 폴더 위치 선택, Image fragment size 0으로 설정(= ..

메모리 포렌식 진행 위한 도구 설치, 환경 설정, 문제 다운로드 1. Volatility 설치 https://www.volatilityfoundation.org/26 Volatility 2.6 Release Volatility 2.6 - an advanced memory forensics framework www.volatilityfoundation.org 다운로드 후 압축 해제 2. 시스템 환경변수 설정 시스템 환경변수에 등록해 두면 어느 경로에 있든지 해당 파일 접근 가능 시스템 환경변수 편집기 열기 -> 환경변수(N) -> 시스템 변수(S) 목록에서 Path 찾아 더블클릭 -> volatility.exe 파일의 위치 추가 -> 확인 -> 확인 -> 확인 3. windows terminal 설치 윈도..