메모리 포렌식 Challenge 2 - cridex

▲ 프로세스 기초 분석

- pstree : 탐색기(explore) 자식 프로세스로 reader 프로세스가 실행

- connections, connscan : 탐색기가 인터넷 연결을 유지

- malfind, dlldump : 숨겨진 실행파일 추출 후 virustotal로 확인

- apihooks : hooking을 시도하는 부분이 unknown인데, 시작주소(0x146a)를 보면

explore.exe 내부임을 알 수 있다. 따라서 explore.exe가 변조되어 ntdll을 후킹하는

것으로 의심

- userassist : cridex1.exe를 실행한 기록이 있다. cridex를 dump 할 수는 없지만,

검색결과 매크로와 비슷한 malware임을 알 수 있다.

 

▲ 시스템 레지스트리 분석

- 악성코드는 재부팅 이후에도 지속적인 악성행위 수행을 위해 시작 프로그램에 등록하여

자동실행 되도록 하는것이 일반적이다. 따라서 시작 프로그램과 관련된 레지스트리를

검색한다.

 

 

- printkey -K "Software\Microsoft\Windows\CurrentVersion\Run"

- 시작프로그램에 KB0020787.exe가 등록되어 있다. KB00000은 윈도우 보안패치 형태

인데, 보안패치를 부팅시마다 실행하는 것은 일반적이지 않다.

- 따라서 KB.exe가 실행시마다 탐색기에 변조를 시도하는 것으로 추측 가능하다.

원래 보안업데이트는 한번만 실행합니다.