의심스러운 프로세스의 이상징후 분석 방법1. 경로 및 이름 분석일반적이지 않은 경로와 이름을 사용하여 실행되는 프로세스가 존재하는가?2. 리니지 분석 (=프로세스 혈통 분석)프로세스 부모자식 관계가 일반적이지 않은가?3. 프로세스의 명령라인 파라미터 분석파라미터가 지정되어 있어야 하는데 없는 경우?파라미터의 길이가 비정상적으로 긴 경우?4. 프로세스 이미지의 버전정보 분석리소스 섹션의 "version info" 리소스 정보가 존재하는지? (오리지널 이름, 벤더, 버전, 프로덕트 이름 등의 정보가 존재) 프로세스의 이상징후 분석을 위한 정보 추출1) 메모리 덤프 프로필 정보 확인2) 프로세스 목록 추출3) 프로세스 트리 정보 추출4) 로드된 DLL 몰골 및 경로 정보 추출5) 프로세스 이미지 덤프 및 버전..
파일 행위 분석 인터넷에서는 총 세개를 다운받음. ) 총 세개 파일을 인터넷에서 받았다. 두 악성파일은 같은 해시값을 가진다. TIMESTAMP EVENT 아티팩트 DESCRIPTION --------------------------------------------------------------------------------------------- 2015-06-22 11:27:58 다운로드 MFT C:\Users\admin\Downloads\Party_Photo.zip 2015-06-22 11:28:09 압축해제 MFT C:\Users\admin\Downloads\Party_Photo\ 2015-06-22 11:28:09 파일생성 MFT C:\Users\admin\Downloads\Party_Pho..
시나리오 #1 mft 분석 이전 시나리오 #1에서 svcnet의 악성 실행파일이 있었다. 이 시나리오에서 수집한 mft파일을 csv로 추출하기 위해 다음과같은 명령어를 사용한다. File Name정보를 생성날짜를 기준으로 오름차순하여 정렬한다. svcnet이 다운받아졌던 시간과 경로이다. svcnet이 다운받아졌던 시간보다 더 이전에 보면 zone.Identiier가 있다. 이것은 이후 여러가지 이미지가 생성됐다. 그런데 jpg인줄알았던게 알고보니 마지막에 exe로 수상한 실행파일이 다운받아졌다. 그래서 이걸 실행시켰더니 svcnet.exe가 나타났겠구나 유추 할 수 있다. pf확장자는 prefetch 파일이다. 어떠한 실행파일을 실행시켰을 때 흔적을 남기는 파일이다. [pf내에 들어가는 내용] 응용프로..
시나리오 #1 침해사고가 발생한 시스템에서 확보한 메모리 덤프에서 프로세스 정보 추출하기 (시나리오1) 메모리 덤프파일에서 프로세스를 뽑아낼거다. volatility (python) -> 포렌식 도구 volatility25.exe -f memory.raw imageinfo -> 이미지 정보 추출 STEP step1. preocess PID, PPID 정보를 가진 목록을 추출. volatility25.exe -f memory.raw --profile=Win7SP1x86 pslist > pslist.txt step2. process의 부모자식관계 가시화한 리니지 분석. volatility25.exe -f memory.raw --profile=Win7SP1x86 pstree > pstree.txt step3...
최종정리□ 피해 시스템 상세 분석 FTP 로그 분석 결과 공격자는 2011년 4월 28일 21:23:09에 FTP 계정(admin)을 사용하여 최초 웹쉘(member....) 업로드 한것으로 확인 ftp 업로드 로그 첨부 공격자가 업로드한 웹쉘 실행화면 및 웹쉘 정보 웹쉘에 접속한 웹로그 분석 결과 공격자는 2011년 4월 28일 21:23:38에 웹쉘에 최초 접속 공격자 IP : 공격자가 웹셀에 접속한 웹로그 첨부 root 권한을 획득하기 위해 업로드한 exploit 업로드 로그 분석 결과 공격자는 2011년 4월 28일 22:11:38에 .exp1 및 동년 동월 동일 22:11:52에 .exp2를 웹쉘을 사용하여 /tmp/.../ 디렉터리에 업로드 exp1, exp2를 업로드하기 위해 웹쉘을 사용한 ..
Redhat9 기반의 침해 PC를 vmware에서 실습했다. 네트워크 설정에서 vmnet8의 subnetIP를 10.10.10.0 대역대로 맞추고, DHCP 범위를 5에서 254까지 맞췄다. 그러고 RedHat 을 실행시키면 10.10.10.15로 실행된다. 이제 Putty로 10.10.10.15로 open. 설정한 아이디와 패스워드 입력 후 접속 완료. 이게 해킹당한 웹서버다. 해킹당한 웹서버를 분석할 때는 제일 중요한 것이 휘발성 데이터다. 재부팅했을 때 사라지는 휘발성 데이터는 실시간으로 누적되지 않고 계속 변동이 발생한다. 대표적으로 네트워크 트래픽, 프로세스, 메모리, 접속 데이터 등이다. 이제 분석을 시작해 보자. 휘발성 데이터 수집 네트워크 분석 공격자가 명령어를 변조하거나 위장했을 수도 있..
침해사고 분석을 위해서 여러가지 분석도구를 사용한다. 오늘은 아래 네가지 분석도구를 통해 웹로그를 분석해보았다.이 파일들을 C:\Windows\System32 경로에 복사한다.이렇게 뜨면 정상적으로 세팅 됐다. 웹서버에는 모든 로그가 남겨져있다. 그래서 로그에는 거의 대부분이 웹로그다. 어떤 웹브라우저, 어떤 언어, 운영체제 등등의 정보들이 모두 웹로그에 있다. 그래서 해킹사고대응 할 때 웹로그를 제일 먼저 분석한다. GET 메서드는 헤더부분만 사용하기 때문에 웹로그에는 GET메서드 헤더부분만 뜬다. POST 메서드는 웹서버에 파일을 간접적으로 전송할 때 사용하는 메서드다. 그래서 웹로그에는 URI step까지만 표현되고 쿼리 스트링은 표현이 안된다. 그리고 공격자의 행위에는 POST 메서드가 반드시 포..