디지털포렌식 with CTF/Memory Forensic (27) 썸네일형 리스트형 [메모리 포렌식] GrrCON 2015 #17 이번 문제부터는 Target2-6184fe9f.vmss 파일로 진행합니다. 파일을 다운받고 volatility 폴더에 넣어줍시다. imageinfo 플러그인으로 메모리 정보를 확인해 보겠습니다. target2 파일도 Windows 7 운영체제를 사용합니다. 공격자가 프론트데스크 컴퓨터로 다른 컴퓨터에 접속하여 덤프하였다고 하니, cmdscan 플러그인으로 사용한 명령어를 확인해 보겠습니다. 공격자는 C:\Users 폴더에 들어간 뒤 wce.exe 프로그램의 결과를 gideon/w.tmp에 저장했습니다. 그러므로 w.tmp 파일을 덤프해야 합니다. 먼저 filescan 플러그인으로 gideon/w.tmp의 오프셋 값을 알아보겠습니다. 오프셋 값을 구했으니 dumpfiles 명령어로 덤프해 보겠습니다. 현재.. [메모리 포렌식] GrrCON 2015 #16 공격자가 원격 접근 방식을 사용했다고 합니다. netscan 플러그인을 사용해 보겠습니다. mstsc.exe 프로세스가 보입니다. mstsc.exe 프로세스는 Windows에서 사용하는 원격 데스크탑 제어 프로그램이므로 이 프로세스가 답이 됩니다. [메모리 포렌식] GrrCON 2015 #15 합법적인 원격 관리 소프트웨어를 찾으면 됩니다. volatility의 netscan 플러그인을 사용해서 네트워크 연결 정보를 확인해 봅니다. 메일 프로그램인 OUTLOOK.EXE와 원격 조정 프로그램 TeamViewer.exe가 보입니다. 원격 관리 소프트웨어를 찾으라고 하였으니 TeamViewer.exe가 정답입니다. [메모리 포렌식] GrrCON 2015 #14 volatility의 netscan 플러그인을 통하여 멀웨어의 IP와 포트 정보를 확인해 보겠습니다. 이처럼 멀웨어 프로세스로 발견된 iexplore.exe의 ip 주소를 구할 수 있습니다. [메모리 포렌식] GrrCON 2015 #13 공격자가 nbtscan.exe의 결과를 nbt.txt에 저장했다고 했으므로 nbt.txt를 복구해 보겠습니다. 파일을 덤프하기 위하여 nbt.txt의 오프셋 값을 filescan 플러그인으로 찾아보겠습니다. nbs.txt의 오프셋을 구하였습니다. 이제 dumpfiles 플러그인과 -Q 옵션으로 파일을 복구해 보겠습니다. 현재 디렉토리에 파일을 복구해주고, 이를 텍스트 에디터로 열어줍니다. 이렇게 첫 번째 컴퓨터의 IP 주소를 구할 수 있습니다. [메모리 포렌식] GrrCON 2015 #12 파일의 MAC 시간은 MFT 파일을 분석하면 확인할 수 있다고 합니다. volatility의 mftparser 플러그인을 사용하고, findstr 명령어를 포함해 nbtscan.exe를 확인해 보겠습니다. nbtscan.exe의 타임스탬프를 확인해 보니 생성/수정/접근 시간이 모두 동일함을 알 수 있습니다. [메모리 포렌식] GrrCON 2015 #11 #10 문제에서 공격자가 옮긴 도구 중 한 가지로 데이터를 전송했을 것입니다. nbtscan, rar, wce 중 wce.exe는 윈도우 계정의 비밀번호 해시 정보와 문자열 정보를 추출해 보여주는 도구입니다. 도구의 특징 상 wce.exe 실행프로그램을 사용한 것으로 추측할 수 있습니다. volatility의 cmdscan 명령어를 통하여 어떠한 명령어들이 입력되었는지 살펴보겠습니다. 실행 결과를 보면 wce.exe 프로그램의 결과를 w.tmp 파일에 저장하였습니다. w.tmp 파일을 복구하기 위하여 먼저 filescan 플러그인과 findstr 플러그인으로 파일의 오프셋 값을 찾아보겠습니다. Temp 폴더에 저장된 w.tmp 파일이 나옵니다. 이제 dumpfiles 플러그인과 -Q 옵션을 사용하여 파일.. [메모리 포렌식] GrrCON 2015 #10 공격자가 옮긴 도구를 찾는 문제입니다. 먼저 멀웨어가 담긴 프로세스인 iexplore.exe 프로세스를 memdump 플러그인으로 덤프하고, strings 프로그램으로 txt 파일로 저장해줍니다. (앞 문제 참고) frontdesk로 검색하다 보면 위와 같이 임시 폴더인 Temp 폴더에 담긴 파일들이 나옵니다. .exe 형식이고, g로 시작하지 않으므로 nbtscan.exe, Rar.exe, wce.exe 3개의 실행파일을 얻을 수 있습니다. [메모리 포렌식] GrrCON 2015 #9 관리자 계정의 NTLM 암호 해시를 구하는 문제입니다. NTLM 암호 정보는 volatility의 hashdump 플러그인으로 확인할 수 있습니다. Admin의 NTLM 암호 해시를 hashdump 플러그인을 통하여 구할 수 있습니다. [메모리 포렌식] GrrCON 2015 #8 이번 문제는 volatility의 mftparser 플러그인으로 MFT를 분석해보겠습니다. mftparser로 출력된 MFT를 분석하다 보면 User name 중 zerocool이라는 이름을 발견할 수 있습니다. zerocool이라는 이름은 1995년 개봉한 영화 Hackers에 등장하는 주인공의 사이버 공간 닉네임이라고 합니다. 고로 이 해커가 나오는 영화의 이름은 Hackers입니다. 이전 1 2 3 다음
