ํด๋น ๊ฐ์๋ฅผ ์๊ฐํ๋ฉฐ ์ ๋ฆฌํ ๋ด์ฉ์ ๋๋ค.
[๋ฌด๋ฃ] ๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ - ์ธํ๋ฐ | ๊ฐ์
๊ธฐ์ด๋ถํฐ ๋ฐ๋ผํ๋ ๋์งํธํฌ๋ ์ ๊ฐ์์ ๋๋ค. ๊ฐ์๋ฅผ ๋ฐ๋ผํ๋ค๋ณด๋ฉด "๋ฌผ ํ๋ฅด๋ฏ, ์์ฐ์ค๋ฝ๊ฒ" ์ค๋ ฅ์ด ๋์ด๊ฐ๋ ๊ฐ์๋ฅผ ์ถ๊ตฌํฉ๋๋ค., ์ด๋ณด์ ๋๋์ด์ ๋ฑ ๋ง์ถ, ์๋ฆฌ๋ฅผ ์ดํดํ๋ ๋์งํธํฌ๋ ์ ์
www.inflearn.com
1. ๋๊ตฌ ์ค์น, ํ๊ฒฝ ์ค์ , ๋ฌธ์ ๋ค์ด๋ก๋
(1) volatility ์ค์น
https://www.volatilityfoundation.org/26
-> ํฌ๋กฌ์์ ํ๋ฉด ์ค์น ๋ถ๊ฐ๋ฅ. ์จ์ผ์์ ์ค์น ์งํ
(2) windows ํฐ๋ฏธ๋ ์ค์น
- ์๋์ฐ11์๋ ๊ธฐ๋ณธ์ผ๋ก ์ค์น๋์ด ์์
Windows Terminal ์ฌ์ฉ๋ฒ
Windows Terminal์ด ์๋กญ๊ฒ(?) ๋์๋ค.Linux๋ MacOS์ ๋นํด Windows๋ ํฐ๋ฏธ๋์ด ๊ตฌ๋ฆฌ๋ค๋ ์ ์ด ํญ์ ์์ฌ์ ๋๋ฐ ์ฐธ ์ข์ ์์์ด๋ค.๊ทธ๋ผ์๋ Linux ํฐ๋ฏธ๋์ ์ต์ํด์ง ๋์๊ฒ Windows Terminal์ 2% ๋ถ์กฑํ ๋๋์ด
velog.io
(3) ์์คํ ํ๊ฒฝ ๋ณ์ ์ค์
ํ๊ฒฝ ๋ณ์๋ฅผ ์ค์ ํ๋ ์ด์
- ์์คํ ํ๊ฒฝ ๋ณ์: ์ด๋ค ๊ฒฝ๋ก์์๋ ์ ๊ทผํ ์ ์๋๋ก ํ๋ ๊ฒ
-> ์ด๋ค ๊ฒฝ๋ก์์๋ ์ ๊ทผ ๊ฐ๋ฅ
-> tab ๋ฒํผ์ ๋๋ฅด๋ฉด ๋ฐ๋ก ๋ถ๋ฌ์ฌ ์ ์์ (windows ํฐ๋ฏธ๋)
(4) ๋ฌธ์ ๋ค์ด๋ก๋
- Malware - Cridex ( https://github.com/volatilityfoundation/volatility/wiki/Memory-Samples )
2. Volatility Cridex ํ์ด
Volatility: ๋ฐ์ดํฐ๋ฅผ ์์งํด์ฃผ๋ ๋๊ตฌ
(1) Volatility ํ์ฉํด๋ณด๊ธฐ
- volatility_2.6_win64_standalone.exe -f .\cridex.vmem imageinfo
- imageinfo: ๋ฉ๋ชจ๋ฆฌ ๋คํ๋ฅผ ๋ณด๊ณ ์ด๋ค ์ด์์ฒด์ ์ ๋ฉ๋ชจ๋ฆฌ ๋คํ์ธ์ง ํ์ธํ๋ ๊ฒ
- ์ด๋ค ์ด์์ฒด์ ์ธ์ง์ ๋ํด์ ์๋ ๊ฒ์ ๋ถ์์์ ๋งค์ฐ ์ค์ํ ๋ถ๋ถ!
- ๊ฒฐ๊ณผ
- Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
- ์ฌ๊ธฐ์ ์๋ฌด๊ฑฐ๋ ์จ๋ ๋๋๋ฐ, ์ ์ผ ์ฒ์๊บผ ์ฐ๊ฒ ์ ์ฐ๋ฆฌ๋
- Suggested Profile(s) : WinXPSP2x86, WinXPSP3x86 (Instantiated with WinXPSP2x86)
- imageinfo: ๋ฉ๋ชจ๋ฆฌ ๋คํ๋ฅผ ๋ณด๊ณ ์ด๋ค ์ด์์ฒด์ ์ ๋ฉ๋ชจ๋ฆฌ ๋คํ์ธ์ง ํ์ธํ๋ ๊ฒ
- volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WinXPSP2x86 pslist
- ํ๋ก์ธ์ค๋ค์ ๋ฆฌ์คํธ ์ถ๋ ฅ
+) ์ถ๋ ฅ๊ฐ์ด ๊ธธ๊ธฐ ๋๋ฌธ์ ' > pslist.log' ์ ๋ ฅํด์ฃผ๋ฉด pslist.log ํ์ผ์ด ์์ฑ๋๊ณ ํด๋น ํ์ผ์ ์คํ ๊ฒฐ๊ณผ๊ฐ ์ ์ฅ๋จ
- notepad++ ๋ก ํ์ผ ์ด๊ธฐ
- ์ด๋ฏธ์ง์ ๋ค์ด์๋ ํ๋ก์ธ์ค์ ๋ฆฌ์คํธ๊ฐ ๋ณด์
- ์์ฌ์ค๋ฌ์ด ํ๋ก์ธ์ค ๋ชฉ๋ก ์ฐพ๊ธฐ
(2) ํ๋ก์ธ์ค์ ๋ฆฌ์คํธ๋ฅผ ์ถ๋ ฅํ ์ ์๋ ๋๊ตฌ๋ค ์ฌ์ฉํด๋ณด๊ธฐ
- pslist : ์๊ฐ ์์๋๋ก ์ถ๋ ฅ
- psscan: offset ์์๋๋ก ์ถ๋ ฅ
- ์จ๊น ํ๋ก์ธ์ค๋ฅผ ๋ณผ ์ ์๋ค๊ณ ์๋ ค์ง
- pstree: ๋ชจ์์ด ๊ตฌ์กฐํ๋์ด์ ๋ณด์ฌ์ง
- PID์ PPID๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ๊ตฌ์กฐํ๋์ด์ ๋ณด์ฌ์ง
- psxview: pslist์ psscan ๋ฑ์ ๋น๋กฏํ 7๊ฐ์ง์ ๋๊ตฌ๋ฅผ ๊ฒฐํฉ. pslist์ psscan์ ํ ๋์ ๋ณผ ์ ์์
- pslist: False, psscan: True ์ผ ๊ฒฝ์ฐ: ํด๋น ํ์ผ์ด ์จ๊ฒจ์ง ํ๋ก์ธ์ค (๊ณต๊ฒฉ์๊ฐ ์๋์ ์ผ๋ก ์จ๊ธด ํ๋ก์ธ์ค)์ผ ๊ฒ์ด๋ผ๋ ์์ฌ์ ํด๋ณผ ์ ์์
ํ๋ก์ธ์ค ๋ชจ๋ฅด๊ฒ ์ผ๋ฉด ํ๋ก์ธ์ค์ ์ญํ ํ๋ํ๋ ๊ตฌ๊ธ๋งํด์ ํ์ธํ๊ธฐ
but, ์ ์ฑ ํ๋ก์ธ์ค๋ ์ผ๋ฐ ํ๋ก์ธ์ค์ ์ด๋ฆ์ ๋๊ฐ์ด ์ง์ ํ๋ ๊ฒฝ์ฐ๊ฐ ์์
- svchost.exe (์๋น์ค๋ฅผ ์ฒ๋ฆฌํ๋ ํ๋ก์ธ์ค)์ ๊ฒฝ์ฐ ์
์ฑ์ฝ๋๋ค์ด ํด๋น ์ด๋ฆ์ผ๋ก ๋ณ์กฐ๋ฅผ ๋ง์ด ํจ
- ํ์ฌ๋ ์ ์์ ์ผ๋ก ๋ณด์ (ํธ๋ฆญ๋ชจ์์ผ๋ก ๋ณด์์ ๋)
- explorer.exe
- ์๋์ฐ์ฆ ํ์๊ธฐ (ํด๋ ํ์๊ธฐ)
- reader_sl.exe
- ์ด๋๋น์ ์ํํธ์จ์ด ๊ตฌ์ฑ ์์
- [psxview] 0x0207bda0 reader_sl.exe 1640 True True : ์จ๊ฒจ์ง ํ์ผ์ ์๋
์ด๋๋น -> PDF ํ์ผ์ ์ฝ์ -> PDF ๋ฌธ์๋ฅผ ํตํ ์ ์ฑ์ฝ๋๋ค์ด ๋งค์ฐ ๋ง์
=> ์์ฌ์ค๋ฌ์ด ํ๋ก์ธ์ค๋ก ์๊ฐํด๋ณผ ์ ์์
=> ๊ทธ๋ ๋ค๋ฉด ์ด ์ดํ์ ์คํ๋ ํ๋ก์ธ์ค๋ค๋ ์์ฌํด๋ณผ๋ง ํจ (์๊ฐ์: pslist)
(4) cmdline
- cmdscan
- consoles
- cmdline: ํ๋ก์ธ์ค๊ฐ ์คํ๋ ๋์ ์ธ์๊ฐ ํ์ธ ๊ฐ๋ฅ
- 3๊ฐ์ง ์ค cmdline.log์๋ง ๋ด์ฉ ์กด์ฌํ์
- ์์ฌ์ค๋ฌ์ ๋ ํ๋ก์ธ์ค ํ์ธ -> ๊ฒฝ๋ก๋ง ๋์์๊ณ ์ป์ ์ ์๋ ์ ๋ณด ์์
(5) filescan
- ๋ฉ๋ชจ๋ฆฌ ๋ด์ ์กด์ฌํ๋ ๋ชจ๋ ํ์ผ๋ค์ ๋ํด ๋ณด์ฌ์ค
- ์์ฌ์ค๋ฌ์ ๋ ํ์ผ ํ์ธํด๋ณด๊ธฐ
-> 'ํ์ฌ ๋ฌธ์์์ ๋ชจ๋ ์ฐพ๊ธฐ'
-> offset ๊ฐ ๋ณต์ฌํ๊ธฐ
- volatility_2.6_win64_standalone.exe -f .\cridex.vmem --profile=WinXPSP2x86 dumpfiles -Q 0x00000000023ccf90 -D .\files\ -n
- ๋ฉ๋ชจ๋ฆฌ ๋ด์ reader_sl์ด๋ผ๋ ํ๋ก์ธ์ค๋ฅผ ๋ฝ์๋
- ์ ์ฑ์ฝ๋ ๊ฒ์ฌ๋ฅผ ์ํด virus total์์ ๋ถ์ํด๋ณธ๋ค (๋ ํ์ผ ์ค ์๋ฌด๊ฑฐ๋ ์๊ดX)
https://www.virustotal.com/gui/home/upload
- ๊ฒฐ๊ณผ: 68๊ฐ์ ๊ฒ์ฌ ๊ฒฐ๊ณผ์์ 6๊ฐ๋ง ์ ์ฑ์ฝ๋๋ผ๊ณ ํ๋จ -> ์ ๋งคํจ
(5) connections
- ๋คํธ์ํฌ ์ ๋ณด ํ์ธ
- ์ฐ๊ฒฐ๋ TCP ํต์ ๋ชฉ๋ก ์ถ๋ ฅ
//์๋๋ ๋ ๋ด์ฉ์ด ๋ง์
- Pid=1484๋ผ๋ ํ๋ก์ธ์ค์์ ํต์ ํจ
- Local Address: ๋ถ์ํ๊ณ ์ ํ๋ ์ปดํจํฐ์ ๋ก์ปฌ ์ฃผ์
- Remote Address: ์๊ฒฉ์ง ์ฃผ์
- 8080 ํฌํธ ์ฌ์ฉ
- pid =1482 ํ๋ก์ธ์ค ํ์ธ
- ๊ทธ ์๋์ ํ๋ก์ธ์ค๋ ์์ฌํด๋ณผ ์ ์์
(6) memdump
explorer.exe๋ ํฌ๋๊น ์์ ๊ฒ(reader_sl.exe)๋ถํฐ ๋ณด๋ ๊ฑฐ์
์ ์ฒด ๋ฉ๋ชจ๋ฆฌ ์ค์ ํน์ ํ๋ก์ธ์ค๊ฐ ์ฌ์ฉํ๋ ์์ญ์ ๊ทธ๋ฅ ๊ฐ์ ธ์จ ๊ฒ์ด๋ฏ๋ก dump ํ์ผ์๋ ์ฐ๋ ๊ธฐ ๊ฐ์ด ๋ง๋ค.
์ด๋ฅผ ์ ๊ฑฐํ๊ธฐ ์ํด strings๋ฅผ ์ฌ์ฉํ๋ค. (SysinternalsSuite์ ๊ฒฝ๋ก๋ฅผ ํ๊ฒฝ๋ณ์๋ก ์ค์ ํด์ค์ผ ํจ)
ํต์ ํ๋ ์ฃผ์์ ๋ํด์๋ ๋ฉ๋ชจ๋ฆฌ ์์ญ์์ ํ์ธํด๋ณธ๋ค.
- ์์ฑ๋ ๋ก๊ทธ ํ์ผ์์ 41.168.5.140 ๊ฒ์
- ๊ฒฐ๊ณผ๋ก ๋ณด์ด๋ URL๋ค์ด ํด์ปค์ ์น์ฌ์ดํธ ์ฃผ์๋ผ๊ณ ์์ธกํด๋ณผ ์ ์๋ค.
- /zb/v_01_a/in/ <- ํด๋น ์ฃผ์๊ฐ ๋ฐ๋ณต์ ์ผ๋ก ๋์ด
- ๊ฒ์
- ์ด๋ฐ ๊ฒฐ๊ณผ๋ค์ ํ ๋๋ก ์์ ์๋๋ฆฌ์ค๋ฅผ ๊ทธ๋ ค๋ณผ ์ ์๋ค.
- reader_sl.exe : ์ ์ฑ PDF ๋ฌธ์ ์ฝ์ -> ์ทจ์ฝ์ ์ผ๋ก ์ธํด์ ํด์ปค์ URL๋ก ์ ์ -> ์ํ ๊ด๋ จ ํผ์ฑ
(7) procdump
- ํ๋ก์ธ์ค ๋ด๋ถ์์ ์ง์ ๋ฝ์๋ด๋ ๊ฒ
- ์๋์ฐ์ฆ ๋ณด์ ๊ธฐ๋ฅ์ด ๋ง๊ธฐ ๋๋ฌธ์, ๋ณด์ ๊ธฐ๋ฅ ํด์ ํ ์ฌ์ฉํด์ผ ํจ
- ์ค์๊ฐ ๋ณดํธ ๋๊ณ ์งํํด์ผ ํจ. ์๊ทธ๋ฌ๋ฉด ํ์ผ ๋ฐ๋ก ์ญ์ ๋จ
- virustotal์์ ๊ฒ์ฌ ์งํ
- 71๊ฐ์ ๊ฒ์ฌ ๊ฒฐ๊ณผ 35๊ฐ์ ๊ฒ์ฌ์์ ์ ์ฑ์ฝ๋๋ผ๊ณ ํ๋จํจ
3. Volatility Cridex ์ ๋ฆฌ
- ์ด์์ฒด์ ์๋ณ
- WinXPSP286
- ํ๋ก์ธ์ค ๊ฒ์
- reader_sl.exe(1640)๊ฐ ์์ํ ํ๋ก์ธ์ค๋ก ๋ณด์์
- ๋คํธ์ํฌ ๋ถ์
- ๊ณต๊ฒฉ์ IP: 41.168.5.140:8080
- PID: 1484 (explorer.exe)
- CMD ๋ถ์ -> ๊ฒฐ๊ณผ ์์
- ํ์ผ ๋ถ์ ๋ฐ ๋คํ
- filescan ๊ฒฐ๊ณผ๋ก๋ถํฐ reader_sl.exe ์ถ์ถ
- dumpfiles ์ด์ฉํ์ฌ ์ถ์ถ -> virustotal ๊ฒ์ -> ํ์คํ ๊ฒฐ๊ณผ๋ฅผ ํ์ธํ ์ ์์์
- ํ๋ก์ธ์ค ์ธ๋ถ ๋ถ์
- procdump ์ด์ฉํ์ฌ reader_sl.exe ์คํํ์ผ ์ถ์ถ -> virustotal ๊ฒ์ -> ์ ์ฑ์ฝ๋์์ ํ์ธ!
- memdump ์ด์ฉํ์ฌ reader_sl.exe ๋ฉ๋ชจ๋ฆฌ ์์ญ์ ๋คํ -> strings ๋ช ๋ น์ด ์ด์ฉ -> ์์ํ URL๋ค ํ์ธ
๋ถ์ ๊ฒฐ๊ณผ ์ ๋ฆฌ์, ์ค์ํ 3๊ฐ์ง
- ๊ณต๊ฒฉ์๊ฐ ์ด๋ค ๊ฒฝ๋ก๋ก ๋ค์ด์๋๊ฐ
- ์ด๋ป๊ฒ ์ ์ฑํ์๋ฅผ ํ์๋๊ฐ
- ์ถ๊ฐ์ ์ผ๋ก ๋จ์์๋ ์ ์ฑํ์๋ ๋ฌด์์ธ๊ฐ
- ๋ถ์ ๊ฒฐ๊ณผ ์ ๋ฆฌ
- ์นจ์ ๊ฒฝ๋ก: ํ์ธ ๋ถ๊ฐ
- ์
์ฑ ํ์
- ์ ์ฑ ํ๋ก์ธ์ค "reader_sl.exe" ์๋ณ
- ์ธ๋ถ ํต์ IP ๋ฐ๊ฒฌ
- ํ๋ก์ธ์ค ๋คํ ํ virustotal ๊ฒ์ ๊ฒฐ๊ณผ -> ์ ์ฑ ํ๋ก์ธ์ค ํ์ธ
- ํ๋ก์ธ์ค ๋ฉ๋ชจ๋ฆฌ ๋คํ ๋ด๋ถ์์ ์์ํด๋ณด์ด๋ ๋จ์ ํ๋ณด
- ์ถ๊ฐ ๊ณต๊ฒฉ: ํ์ธ ๋ถ๊ฐ
