window xp 를 vmware pro 에 설치를 하고 (오랜만에 보는 xp다) sandsprite.com/iDef/SysAnalyzer/ http://sandsprite.com/iDef/SysAnalyzer/ sandsprite.com 이곳에서 먼저 sysanalyzer를 다운받습니다. www.hex-rays.com/products/ida/support/download_freeware/ IDA Freeware Download Page – Hex Rays The freeware version of IDA v7.0 comes with the following limitations: no commercial use is allowed lacks all features introduced in IDA > v..

peview 프로그램을 다운받고 EXE 를 아무거나 집어넣어보면 원래 4A 5D 인데 잘보면 5A4D로나온다 그이유는 리틀엔디안 때문이다 genesis8.tistory.com/37 리틀 엔디안 VS 빅 엔디안 먼저 둘을 비교하기에 앞서 엔디언이란 무엇인가? 엔디언(Endianness)은 컴퓨터의 메모리와 같은 1차원의 공간에 여러 개의 연속된 대상을 배열하는 방법을 뜻하며, 바이트를 배열하는 방법을 특히 genesis8.tistory.com little endian(윈도우) big endian(리눅스) 두개씩 쪼갠다음에 뒤에 것을 앞으로 가져오고 앞에 것을 뒤로 가져온다. 4d 5a를 윈도우에서 10진수로 바꾸면 그값은? 먼저 리틀 엔디안 으로 먼저 바꾸고 10진수로 바꾸면됩니다. 5A 4D 는 23,1..

irc 검색한후 folow -> tcp stream 을보면 네트워크 포렌식 CTF 3 &#x 이 encoding이 되있다는것을 알수가있습니다, 그래서 저것을 그대로 끌어다가 decoding을 하게된다면 ▲ 단체 대화방을 통해 결정한 회의는 무슨요일에 열리는가? - irc 프로토콜에 있는 내용을 html decoding 하면 = wednesday ================================================ 네트워크 포렌식 CTF 5 ▲ 접선 장소는 어디인가? - networkminer로 열어보면 messages 에서 패스워드(S3cr3tVV34p0n)와 데이터 전송 방법(DCC SEND r3nd3zv0us 2887582002 1024 819000)을 확인 가능 * DCC는 irc..

네트워크 포렌식 CTF 1 ▲ 대회 참여자 명단을 내부망에서 공유했다. 공유한 참가자 명단 파일을 찾아라. - 내부망에서 파일을 공유했으므로, 내부망 파일공유 프로토콜(smb)를 통해 전송한 파일이 있는지 확인(export objects - smb) - document.zip - Enter the WuTang\track6.docx 을 base64로 디코딩 저 zip 파일을 푸니까 저런게 나오니까 한번 base64로 디코딩을 진행해봅니다. The Mystery of Chess Boxing: (usernames) Mr. Method Kim Ill-Song Mr. Razor Mr. Genius Mr. G. Killah Matt Cassel Mr. I. Deck Mr. M Killa Mr. O.D.B. Mr. ..

vol.exe -f 5.vmem --profile=Win7SP1x64 pstree vol.exe -f 5.vmem --profile=Win7SP1x64 netscan 메모리 포렌식 CTF 5 ▲ 1. 악성코드를 찾아라 - profile=Win7SP1x64 - svchost 는 시스템 서비스인데 웹 접속을 하고 있다. 즉 이 프로세스가 변조가 되었을 것이라 의심 가능 0x7de50cf0 svchost.exe 시스템내부프로세스라서 웹접속을 해야할 의무가없다 그래서 이 파일을 덤프를 뜹니다. vol.exe -f 5.vmem --profile=Win7SP1x64 procdump -p 288 --dump-dir=./ - svchost(288) dump : procdump -p 288 --dump-dir=./ 일단..

vol.exe -f 4.vmss imageinfo (너무오래걸린다..) vol.exe -f 4.vmss --profile=Win2012R2x64 pstree ■메모리 포렌식 CTF 4 ▲ IIS 서버에서 실행되는 웹쉘 파일 이름과 웹쉘 코드를 찾으시오 - profile=Win2012R2x64 엄청나게 많이나오게되고 - IIS 서버의 실행파일은 w3wp.exe다. 여러 프로세스 중 cmd를 자식으로 가지는 5492프로세스가 의심스럽다. 해당 프로세스가 cmd를 열어서 어떤 악성 명령어를 실행하려는 의도가 있을 가능성이 크기 때문이다. 5492 pid 를 가진 w3wp.exe는 자식을 여러가지를 가졌기때문에 의심스럽습니다. (net.exe까지 자식) iis는 윈도우버전 아파치 라고 생각을 하면된다 w3wp...

vol.exe -f 3.vmss imageinfo win7 이니까 --profile=Win7SP1x86 을 붙여야합니다. vol.exe -f 3.vmss --profile=Win7SP1x86 pstree 메모리 포렌식 CTF 3 ▲ 1. C&C 서버를 찾아라 - 웹 접속을 유지하고 있는 iexplore를 먼저 확인한다. iexplore -> iexplore vol.exe -f 3.vmss --profile=Win7SP1x86 netscan 참고로 netscan 은 window7에서 사용하는 connscan같은 연결된것을보는것이다 - 또한 iexplore는 내부에 실행파일이 삽입된 것으로 확인 되므로(malfind), 54.84.237.92가 악성코드 C&C 서버일 것이라 추측 가능 이중에 하나가 악성이라..

vol.exe -f 2.vmss imageinfo vol.exe -f 2.vmss --profile=Win7SP1x86 pstree vol.exe -f 2.vmss --profile=Win7SP1x86 cmdscan vol.exe -f 2.vmss --profile=Win7SP1x86 cmdline 뭐 딱히 특별한게 나오지는 않습니다.근데 잘보면 cmd 창을 실행하고 conhost를 실행합니다. conhost는 커맨드창에서 실행하는 명령어를 작업관리자에 보여주는 의심스러운건 com창이실행된후 작업을 합니다 420 부모가 여기있습니다 윈도우 기본프로세스 이긴한데 412 부모 프로세스가여기에 존재하지가 않습니다 근데 윈도우 기본프로세스인데 부모가없다는게 이해가되지않습니다. 그리고 커맨드 창다음에 실행이되는데..

메모리 포렌식 CTF 1 ▲ 1. 우리 회사의 안내 desk에 근무하는 직원이 수상한 이메일을 확인하여, 악성코드 감염이 의심된다. 보낸사람의 이메일 주소와 접속주소, 첨부파일을 찾아라 vol.exe -f 1.vmss imageinfo 로 일단확인을합니다 추천받은거 아무거나 win7sp0x86 win7sp1x86 vol.exe -f 1.vmss --profile=Win7SP1x86 pstree 일단 이메일과 관련된 것이니까 이메일 서비스와 관련된 프로세스(OUTLOOK.EXE)가 사용하는 모든 메모리 공간 추출 vol.exe -f 1.vmss --profile=Win7SP1x86 --profile=Win7SP1x86 memdump -p 3196 --dump-dir=./ 이것을 텍스트파일로 만들어서 한번보..

vol.exe -f 8 imageinfo를 해도 이미지가 나오질않습니다. 여기서 운영체제를 찾아봅니다. strings.exe 8 > 15555.txt ▲ 프로세스 기초 분석 - 프로파일을 찾을 수 없다. - 이미지 전체를 string으로 저장 후 검색(linux-ubuntu16.) 찾아보니까 우분투를 사용했고 우분투는 일단 분석하기가 힘드니까 다음번으로 넘어갑니다. ================================== 메모리 포렌식 Challenge 9번 vol.exe -f 9.mem imageinfo vol.exe -f 9.mem --profile=Win7SP1x64 pstree vol.exe -f 9.mem --profile=Win7SP1x64 netscan ▲ 이미지 대상 IP 주소 - n..

vol.exe -f 7.raw imageinfo 먼저 뒤에옵션을 붙여야하는지 알아보자 window7 이니까 붙여야합니다 vol.exe -f 7.raw --profile=Win7SP1x86 pstree mimikatz.exe 는 당연한 크랙이므로 아니까 추출할필요까지는없다 ▲ 프로세스 기초 분석 - pstree에서 explore-httpd-cmd-openssl 이 의심된다. openssl 은 암호화 통신을 위한 것인데 지금은 사용하면안되고 tls를 사용해야합니다, openssl은 별도로 사용금지된지가 꽤 됬습니다. 근데별도로 커맨드창을 띄워서 openssl을 실행했습니다. 그래서 의심이가고 암호화 통신을 위장한 악성코드라고 추측을 해볼수가있습니다 vol.exe -f 7.raw --profile=Win7SP..

\ vol.exe -f 6.raw imageinfo ▲ 프로세스 기초 분석 - --profile=Win7SP1x32 vol.exe -f 6.raw --profile=Win7SP1x86 pstree - pstree : hfs-wscript-KrpiupKHRF0Lo-cmd 가 수상하다. hfs는 http file server로 2.3 버전에 원격코드 실행 취약점이 있다. 좀 말이안되게 의심이간다 부모도 존재하지않으면서 수상하다. vol.exe -f 6.raw --profile=Win7SP1x86 userassist 여기선 별개 나오지않았고 vol.exe -f 6.raw --profile=Win7SP1x86 malfind 1600에 실행파일이 숨어져잇으며 의심가는 파일 전부 덤프를 떠보게된다면 vol.exe ..

vol.exe -f 5.vmem imageinfo 일단 xp 라 추가적인 옵션 값은 붙일 필요가없다, vol.exe -f 5.vmem pstree vol.exe -f 5.vmem connscan vol.exe -f 5.vmem connections 프로세스 기초 분석 - connscan : svchost(856) 프로세스가 웹 접속을 유지하고 있다. svchost는 시스템 프로세스로, 웹 접속을 하는 경우가 없으므로 악성코드에 의해 변조된 프로세스라 의심 svchost 가 여러개 떠있는 것은 정상인데 인터넷 연결은 안되는게 정상이다 윈도우에서 사용하는거기 때문에 vol.exe -f 5.vmem malfind 변조된 것을 확인해본다 856 과 1724 explorer 안에 실행파일도 되있는게 의심스럽기도합..

vol.exe -f 4.vmem imageinfo 이번 파일에서는 따로 뒤에 붙여주지않아도된다xp이기때문에 vol.exe -f 4.vmem pstree ▲ 프로세스 기초 분석 - pstree : firefox와 acrobat reader가 부모/자식관계이다. firefox 브라우저 사용 중 acrobat reader를 실행한 것으로 추측 vol.exe -f 4.vmem connscan vol.exe -f 4.vmem connections - connscan : acrobat reader(1752)가 80번 port와 연결을 유지하고 있다. 다른 port 라면, 업데이트 서버연결 등으로 생각할 수 있으나, acrobat reader가 웹 접속을 유지한다는게 의심 vol.exe -f 4.vmem malfin..

vol.exe -f 3.vmem imageinfo ▲ 프로세스 기초 분석 - imageinfo : 윈도우7 이미지로, --profile=Win7SP1x64 추가 vol.exe -f 3.vmem --profile=Win7SP1x64 pstree window 7 이상이니까 --profile=을 붙인다. vol.exe -f 3.vmem --profile=Win7SP1x64 pslist - pslist : outlook.exe는 원래 탐색기에서 실행하고(부모가 탐색기) 그리고 원래대문자니 딱히 의심이가지않는데 부모가 404 인 csrss.exe winlogon.exe 두개다 부모가 존재하지않으니까 의심이간다 skypeC2autoupd 프로세스도 의심이 간다 csrss 랑 winlogon 이 부모 프로세스가없습니..

▲ 프로세스 기초 분석 - pstree : 탐색기(explore) 자식 프로세스로 reader 프로세스가 실행 - connections, connscan : 탐색기가 인터넷 연결을 유지 - malfind, dlldump : 숨겨진 실행파일 추출 후 virustotal로 확인 - apihooks : hooking을 시도하는 부분이 unknown인데, 시작주소(0x146a)를 보면 explore.exe 내부임을 알 수 있다. 따라서 explore.exe가 변조되어 ntdll을 후킹하는 것으로 의심 - userassist : cridex1.exe를 실행한 기록이 있다. cridex를 dump 할 수는 없지만, 검색결과 매크로와 비슷한 malware임을 알 수 있다. ▲ 시스템 레지스트리 분석 - 악성코드는 재..

stuxnet이란 오직 핵심 시설의 파괴만을 목표로 하고있다. 기업망 업무망 등을 감염시키는것을 지금까지배우고 분석해왔지만 이번에 할것을기계를 제어하고, 원전등 일반적으로는 독립된 프로토콜을 쓰는곳을 감염시키는 것을 배운다. 동작 조건이 한정되있으므로 사용자들이감염되도 타격이없다. 하지만 감염된 pc 가 타겟인곳에 usb를 꽃았을때는 마비가될수가있습니다. xp 32 비트여서 따로 설정값이 필요가없었고 vol.exe -f 1.vmem pstree(프로세스 목록을 봅니다) vol.exe -f 1.vmem pstree > pstree.txt 이렇게하면 txt파일로 저장이되는거 알아두기 부모가 다 system으로 되있으면 악성일 가능성도있지만상대적으로는 힘듭니다.원격으로 해킹당하면 윈도우를 쓰기도힘들고분석의 우..

vol.exe -f sample.vmem pstree여기서 한번 분석을 시작해보자 vol.exe -f sample.vmem psscan 샘플을 살펴보면 이게 악성코드일 확률이 높지만원래는 이렇게 대놓고 주지는 않는다. 하지만 부모자식처럼 부모가 가장중요하다 잘보면 부모가 explorer.exe였고 탐색이였다 익스플로러 브라우저는 iexplore.exe인데익스플로러 브라우저가 아니였다. 1708인 explorer.exe의 부모를 찾아보니까 존재하지않은걸보니까 시스템 기본 내장 프로세서이고윈도우 내장프로세서인데 explorer.exe의 부모 프로세스최종적으로는 타고 타고 가서 system이 되야하는 것이지만이것은 부모가 존재하지않았다. vol.exe -f sample.vmem userassist (사용자가 ..

cpu 와 hdd(하드디스크)는 서로 절대 통신을 하지 않는다. 이상태의 악성코드에 감염된 메모리 캡쳐를 뜨는 것을 이제 시작할 것이다. 절대 전원을 끄지말아야 메모리가 날아가지않는다. 휘발성 이기때문이다. 장점 : 암호화/난독화 된 코드라도 실행시에는 해제된 채로 메모리에 상주 - 단점 : 전원 차단시 모든 데이터가 사라짐 메모리에 올라가는 순간 난독화가 해제되기때문에 (실행된 상태는) ================kali 에서 할시 apt-get install volatility apt-get install python-pip* pip install distorm3 pycrypto openpyxl Pillow ==============window에서 할시 www.volatilityfoundation...

pcap 파일을 열어보면 좀내용이많습니다. http에서보면 난독화를 해제 하게되면 오른쪽위에 /counter/?~~~~ 가 나올거라는 예측을 할수가있습니다. 자이제 eml 파일을 같이 저장하고 한번열어보게되면 열어보니까 자바스크립트 파일이 들어있습니다. (윈도우에서도 악성파일이란 것을 감지합니다) 이상한 짓을 할게 확실하고 자바스크립트 파일을 열어보면 이런게나오는데 딱보니 난독화를 진행해야할 의미없는 코드들이랑 같이 있습니다. 수정을 해야겠습니다. r.split(m).join("a"0); 이것은 m이라는 문자를 a라는 문자로 이렇게하게되면 var e~~~~ 6 번쨰줄은 삭제합니다( alert(); 이것을 삽입합니다. 먼저 html로 바꾼뒤에 난독화를진행하여야합니다. alert로 수정을해서 난독화를 하면 ..