메모리 포렌식 Challenge 3

 

 

 

vol.exe -f 3.vmem imageinfo

 

 

▲ 프로세스 기초 분석

- imageinfo : 윈도우7 이미지로, --profile=Win7SP1x64 추가

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 pstree

 

window 7 이상이니까 --profile=을 붙인다.

 

 

 

 

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 pslist

 

 

- pslist :

outlook.exe는 원래 탐색기에서 실행하고(부모가 탐색기) 그리고 원래대문자니 

딱히 의심이가지않는데

 

부모가 404 인 csrss.exe winlogon.exe 두개다 부모가 존재하지않으니까

의심이간다

skypeC2autoupd 프로세스도 의심이 간다

 

 

 

 

csrss 랑 winlogon 이 부모 프로세스가없습니다.

 

 

그리고

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 userassist

사용자가입력한 명령어를 검색해보게 된다면

되게 많이 나오는데

 

vol.exe -f 3.vmem --profile=Win7SP1x64 userassist > 123123.txt

텍스트 파일로 변경을해서 알아보게되면

exe파일을 찾아보니까 딱히 csrss등 내가 찾는 것은 나오지가않게됩니다.

 

 

 

 

 

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 procdump -p 1364 --dump-dir=./

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 memdump -p 1364 --dump-dir=./

 

- memdump : skypeC2autoupd(1364)가 사용하는 (참조하는,애랑 관련된) 모든 메모리 영역을 dump

memdump -p 1364 --dump-dir=./

 

 

 

 

 

 

덤프 파일이 생겨났고 이것을 virus total에 넣어보게된다면

 

나오지가 않게됩니다.

 

 

 

 

 

skypec2autoupd를 덤프를 떠서 한번확인을 해봤는데도 바이러스가 발생이 되지 않습니다.

 

 

 

 

 

이게 왜이러냐면

 

다른통신할수있는 프로그램이 여러개가 존재한다고 했을때 

skype를 실행하기위해 참조하는 메모리공간은 훨씬 크고 참조를한다.

 

exe파일이 실행이되면 프로세스가 생기지만 프로세스가 참조하는 메모리 영역은 굉장히 큰 위치이다.

 

skype 의 사용했던 메모리를 덤프를 뜨면채팅했던 정보들이 다 나옵니다. 모든정보가 나오지는않지만

실행했던파일이름,프로세스, 채팅기록등

 

 

 

 

 

▲ 1364 프로세스 분석

strings.exe 1364.dmp > 1364.txt

- 1364가 사용했던 모든 메모리 영역에서 문자열만 추출하여 악성행위를 추출하고 txt파일로 만듭니다.

 

 

 

 

 

 

skype를 한번검색해보니까 이런게나왔고

이skype가 참조하는 dll을 찾아봅시다.

 

 

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 dlllist -p 1364

뭐 딱히 그런게 없었고

 

vol.exe -f 3.vmem --profile=Win7SP1x64 dlllist -p 1364 > dll.txt로 해보게되면

 

system폴더안에있는게 보통의 dll입니다.

 

좀내리다 보면 특이한게 나오게되는데

 

 

skype는 temp폴더 쪽에있으니까

temp폴더에 있는 dll을 검색하기위해

temp를 검색해봅니다.

 

이상한거는 다검색해봅니다....

- temp 디렉토리에서 많은 실행파일이 생성된다.

 

 

AVICAP32.dll은 윈도우 시스템 폴더에 소문자로 들어있는 dll 인데,

대문자로 temp

폴더에 있으므로 악성행위를 하는 dll로 의심 (실행하는 폴더에 있는 dll이여서 의심)

 

 

 

vol.exe -f 3.vem --profile=Win7SP1x64 filescan > file.txt

 

 

 

 

파일을 보면 재만 temp폴더에 있었습니다. 

정상과 이름이 똑같은 파일만 존재를 했고

 

저 주소로 한번 텀프를 떠봅시다.

 

 

 

 

vol.exe -f 3.vmem --profile=Win7SP1x64 dumpfiles -Q 0x00000000059f8bd0 --dump-dir=./

 

- 1364 프로세스 추출

filescan | grep "skypeC2autoUpd"

dumpfiles –Q 주소 --dump-dir=./

추출 후 virustotal에서 악성행위여부 확인

 

 

 

 

dll 이 악성코드였습니다.

 

▲ 1364 프로세스가 호출한 dll 분석

- dlldump -p 1364 --dump-dir=./

- AVICAP32.dll을 virustotal로 malware확인

 

 

 

 

 

 

dll 위치가 이상한것도  찾아내고

메모리 포렌식은 명령어의 의미가 사실 거의 필요가없고

사람의 머리가 제일 중요한 것 같다..

 

 

 

 

 

또 궁금해서 한번 찾아보자

vol.exe -f 3.vmem --profile=Win7SP1x64 ldrmodules -p 1364

숨겨진 1364가 참조하는 dll을 전부 찾는 것이다.

 

 

 

 

tv_w32.dll 은 찾아보니까 정상이였고

 

 

 

 

 

AVICAP32.dll만 악성코드로 판단을 성공하였습니다.