- 메모리 포렌식 예제를 찾다가 Cridex 메모리 이미지가 있길래 분석을 진행하였습니다.
개요
- 볼라틸리티를 통해 메모리 포렌식을 수행하였고, 해당 악성코드가 어떻게 실행되고 있는지 확인했다. 볼라틸리티를 많이 안써봐서 이 기회에 실습 겸으로 분석을 해보자
- 처음엔 volatility3로 분석했는데, 네트워크 소켓 관련 정보를 확인할 수 없어서 2 버전으로 갈아탐
Image Info 분석
- 먼저 windows.info 명령어를 통해 해당 이미지에 대한 정보를 확인하였다. 분석이 진행되는 것을 확인할 수 있다.
-
-
프로세스 분석
- pslist 확인
- 프로세스 리스트들을 확인하기 위해 windows.pslist 명령어를 통해 분석을 진행하였다.
- 딱히 의심스러운 파일이 보이지는 않는다.
- pstree 확인
- 이 부분도 딱히 의심될만한 부분은 안보인다.
네트워크 분석
- 아니 volatility3로 분석했는데, netscan이랑 netstat 명령어 다 안됨.. 뭐지? 바로 2.6 버전으로 갈아탔다.. 3 버전에서는 지원이 안되나보다..
- connections 확인
- 확인해보니 41.168.5.140:8080에 세션이 연결되어 있는 것을 확인할 수 있었다. pid는 1484인걸보니 아까 봤던 explorer.exe 파일이다.
- sockets 확인
- pid가 1484이면서 port가 1038로 열려 있는 것을 확인할 수 있다.
- connscan 확인
- pid가 1484인 애가 두 가지 주소에 연결되어 있는 것을 확인할 수 있었다.
- 둘다 C2 서버인가? 해당 IP를 바이러스토탈에 올려보자
- 41.168.5.140, 125.19.103.198은 아직도 백신 엔진에서 탐지되는것을 확인할 수 있었다. 아마 다른 사이트일 것이다.
프로세스 덤프
- 아무래도 프로세스 덤프를 떠서 직접 확인해보는 것이 정확할 것이라고 판단했다. 그래서 pid 1484 Explorer.exe와 1640인 reader_sl.exe를 덤프하였다.
- 1484를 덤프해서 바이러스 토탈에 올려보니 엔진에서 많이 탐지가 되고 있는 것을 확인할 수 있다.
- 1640인 reader_sl.exe의 경우 디펜더에서 탐지되는 것도 확인이 가능했다.
메모리 덤프
- 메모리 덤프를 통해 어떤 문자열들이 있는지 확인하였다.
- dmp 파일로 추출 후 strings를 통해 C2 주소로 필터링을 해 어떠한 정보가 추출되는지 확인하였다.
- 보아 하니 C2가 굉장히 많다. 한 두개가 아닌 것으로 보인다.
- 또한, 다양한 은행 사이트 도메인 주소를 확인할 수 있었다.
레지스트리 분석
- Software\Microsoft\Windows\CurrentVersion\Run 레지스트리를 분석해본 결과 지속적인 실행을 위해 KB00207877.exe 파일을 등록한 것을 확인할 수 있다. 아마 악성 파일이지 않을까 추측된다.
- Robert 폴더 밑에 있는 exe 파일이다.
결론
- 이미지 파일을 분석하면서 프로세스 덤프한 것을 IDA에서 확인해보았지만, 전혀 악성행위에 대한 코드가 보이지 않았다. 아마 reader_sl.exe이 감염될때 어떠한 행위를 통해서 감염되었는지 추측이 불가능했다.
- 정확히 어떻게 감염이 되었고, 어떻게 침투했는지가 궁금하다.
- 아마 이 부분은 디스크 포렌식을 통해서 아티팩트를 분석하면 좀 더 명확해지지 않을까 싶다.