[3주차] 디지털 포렌식 스터디 정리

Volatility

- 메모리 포렌식 도구. 오픈소스로 제공되고 CLI인터페이스를 제공함.

    -> CLI: 글자로 명령어를 입력하는 방식. 마우스로 하는건 GUI.

- 버전2.  버전3까지 나와있지만 안정성 이슈로 버전2 사용함. + 버전2가 자료가 더 방대함.

- Volatility에서 증거를 획득할 수 있는 이유

 : 메모리 포렌식 도구니깐..?

 

volatility 명령어 정리

운영체제 식별

- imageinfo : 메모리 덤프의 운영체제를 식별

 

프로세스 검색

- pslist : 시간 순서대로 보여줌

- psscan : 숨겨진 프로세스 출력 가능

- pstree : PID, PPID 기준으로 구조화하여 보여줌

- psxview : pslist, psscan을 포함한 도구들의 결과를 한 눈에 볼 수 있음.

 

네트워크 분석

Netscan

- Windows 7 이상

- TCP, UCP / IPv4, IPv6

- Listening(컴퓨터가 통신을 위해 소켓을 연 상태), Established(소켓이 열려서 통신 중), Closed(소켓이 닫힌 상태)

 

Connection

- Windows 7 미만

- 현재 연결된 TCP 통신에 대한 정보. Established 상태만 출력

 

Sockets

- Windows 7 미만

- TCP, UDP를 포함한 모든 프로토콜

- 현재 Listening 상태에 있는 소켓을 출력.(Established도 포함해서)

 

CMD 분석

- cmdscan, consoles : 콘솔에 입력한 값들을 볼 수 있음.

    cmdscan과 consoles는 비슷. consoles는 입력값 뿐만 아니라 출력값도 볼 수 있어서 조금더 유용. 그러나 두개의 검색방식이 달라서 둘중 하나만 쓰는 것이 아닌 둘 다 써줘야함.

- cmdline : 프로세스가 실행될 때의 인자값을 확인할 수 있음.

 

파일 분석 및 덤프

- filescan: 메모리 내에 존재하는 모든 파일들의 리스트 출력.

- dumpfiles : 파일을 덤프, 옵션으로 메모리 주소, 프로세스 줄 수 있음

 

프로세스 세부 분석

- memdump : 특정 프로세스의 메모리 영역을 덤프 + string 사용

- procdump : 프로세스의 실행 파일을 추출

 

악성 프로그램 식별

- virustotal주로 사용

- Windows Defender도 정학한 편.

 

Cridex

운영체제 식별

- WinXPSP2x86

 

프로세스 검색

- reader_sl.exe(1640)가 수상한 프로세스로 보였음.

 

네트워크 분석

- 공격자 IP: 41.168.5.140:8080

- PID: 1484(explorer.exe)

 

CMD 분석

-> 결과 없음.

 

파일 분석 및 덤프

- filescan결과로부터 reader_sl.exe 추출

- dumpfiles 이용하여 추출 -> Virustotal 검색 -> 애매.. 

 

프로세스 세부분석

- procdump 이용하여 reader_sl.exe 실행파일추출

  -> Virustotal 검색 -> 오 악성코드임.

- memdump 이용하여 reader_sl.exe 메모리 영역 덤프

  -> strings 명령어 이용-> 수상한 URL들 발견.

 

Cridex 분석결과

분석 결과 정리시 중요한 것 3가지

1. 어떤 경오로 해커가 들어왔는지

2. 어떻게 악성행위를 했는지 (전파가 되어 퍼져서 ~가 ~하고 ...)

3. 공격행위가 끝나고 추가적으로 남아있는 악성행위가 무엇인지. (포트가 열려있어서 해커가 더 들어올 수 있는지-백도어 유무 확인, 기업 PC인데 피해 PC를 기준으로 다른 PC까지 공격이 이어지는지 등등)

침입경로

- 확인 불가

 

악성행위

- 악성 프로세스 "reader_sl.exe" (PID: 1640) 식별

- 외부통신 IP "41.168.5.140:8080" 발견

- 프로세스 덤프 후 Virustotal 검색 결과 -> 악성 프로세스 확인

- 프로세스 메모리 덤프 내부에서 수상해보이는 단서 확보

 

추가공격

- 확인불가

 

(시도해 볼 수 있는것..)

- explorer.exe 프로세스 분석

- IP 추적 -> Whois 조회

- 레지스트리 추출 (자동 실행 관련 분석)

- explorer.exe 메모리 덤프 내부에 웹페이지 소스코드 (HTML) 분석

 

윈도우 포렌식

윈도우 아티팩트

: 윈도우가 가지고 있는 특유의 기능들과 그 기능을 구현하는데 필요한 요소. Windows의 사용자가 수행하는 활동에 대한 정보를 보유하고 있는 개체

 

What is Artifact?

: 포렌식에서 아티팩트는 자료구조, 데이터가 규칙적인 형식으로 저장되어있는 개체. 

컴퓨터가 자동으로 생성해주는 어떤 개체들 중에서 특정한 포맷을 가진 것들.

 

What is 생성증거?

: 프로세스, 시스템에서 자동으로 생성한 데이터

 

What is 보관증거?

: 사람이 기록하여 작성한 데이터

 

- 레지스트리

- $MFT, $Logfile, $UsnJrml

- LNK

- JumpList

- Recycle Bin

- Prefetch & Cache(s)

- Timeline

- VSS

- 웹브라우저 아티팩트

- EventLogs

 

공부할 때 중요한 점 (아래 항목에  있호기심이 있어야함.)

1. 사용자의 행위에 따라 어디에 어떤 정보가 저장되는가?

2. 컴퓨터는 대체 어떻게 동작하는 것인가?

-> 사용자는 컴퓨터로 무슨 일을 했을까?

 

Registry

: 윈도우 운영체제와 응용 프로그램 운영에 필요한 정보를 담고 이는 계층형 데이터 베이스

- 운영체제 및 응용 프로그램의 설정 정보, 서비스의 중요 데이터 등 기록

- 부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자 행위 등 모든 활동에 관여

 

윈도우 시스템의 모든 정보가 담겨 있음

- 윈도우 시스템 분석의 필수 요소

 

- 시스템 표준 시간 (TimeZone)

- 시스템 정보 (Systeminfo)

- 사용자 계정 정보

- 환경 변수 정보

- 자동 실행 프로그램

- 응용 프로그램 실행 흔적 (UserAssist, OpenSavePidMRU, LastVisitedPidlMRU)

- USB 연결 흔적

- 접근한 폴더 정보 (Shellbag)

 

레지스트리 조회

- regedit (레지스트리 편집기) 이용

 

레지스트리 조회 및 편집 가능

윈도우 버튼+R 누르고 rededit 엔터.

좌측에 있는 5개의 폴더는 root key

 

root키의 설명

HKLM만 쳐도 약어를 rededit이 인식함. 굿굿.

위의 약어중 HKLM, HKCU 정도는 기억하기.