디지털 포렌식 기초 - 5(grrcon 2015#1 침해 분석)

ㅁ안녕하세요, grrcon 2015#1에 대한 문제풀이 및 침해 분석을 해보도록 하겠습니다.

 

- grrcon 2015#1

 

1번 문제는 프런트 직원들에게 보낸 사람의 전자 메일 주소를 묻는 문제입니다. 아마 메일관련한 프로세스들을 분석해봐야할 필요성이 있을 것 같습니다.

 

- 메모리의 os 종류 알아내기

먼저 imageinfo 명령어를 사용하여 메모리의 os 종류를 알아내보겠습니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss imageinfo

Win7SP0x86 운영체제로 메모리를 분석해보도록 하겠습니다.

 

- 메모리에서 프로세스 추출하기

pslist, psscan, pstree, psxview 명령어를 사용하여 프로세스들을 추출해보도록 하겠습니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pslist > pslist.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 psscan > psscan.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 pstree > pstree.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 psxview > psxview.log

추출을 했다면 notepad++로 열어보겠습니다.

 

- pstree 분석하기

프로세스들을 분석할때 pstree먼저 보게되면 부모와 자식 관계를 알 수 있어서 프로세스들의 관계성에대해서 알고 접근할 수 있습니다. 전자 메일 관련 프로세스들에대한 관계를 분석해보도록 하겠습니다.

이메일 관련 프로세스들을 찾아보던중 OUTLOOK.EXE라는 프로세스가 보입니다. outlook은 마이크로소프트에서 제공하는 이메일 관련 응용프로그램입니다. 근데, outlook이 explorer.exe에 의해 실행되었던 것을 확인할 수 있습니다. explorer.exe는 저번 장에서 파일탐색기라고 배웠습니다. 아마 사용자가 파일탐색기로 outlook을 실행한 것 같다는 생각이듭니다. 근데 한가지 수상한 점은 파일탐색기를 통해 cmd를 실행했던 흔적이 보인다는 것입니다. 보통 사용자가 파일탐색기를 통해 cmd를 실행하지 않기때문입니다. 아마 해커가 cmd를 실행 시킨 것 같습니다. 시간대를 보게되면 outlook은 11:31:32이고, cmd는 11:33:42와 11:37:32이기 때문에 메일 관련으로 해커가 컴퓨터에 접근 할 수 있게되었고, 해커는 cmd를 실행 한 것으로 확인됩니다. 이제 pslist로 메일관련 프로세스말고 다른 의심가는 프로세스는 없는지 확인해봅시다.

 

- pslist 분석

 

smss.exe : Session Manager Subsystem을 나타내는 실행 파일입니다. 마이크로소프트 윈도우즈 운영 체제의 중요한 구성 요소로서 컴퓨터를 켜면 자동으로 실행됩니다.

csrss.exe : 윈도우 NT의 구성 요소로서, 사용자 모드 쪽의 Win32 하위 시스템을 제공하며 윈도우 2000 이후로 제공되어 왔습니다.

wininit.exe : 윈도우 초기화 프로세스들을 실행하는 매우 중요한 프로그램 입니다.

winlogon.exe : Windows 운영 체제의 중요한 부분입니다. 이 프로세스는 항상 Windows의 백그라운드에서 실행되며 몇 가지 중요한 시스템 기능을 담당합니다.

services.exe : 서비스 제어 관리자 는 윈도우 서비스 프로세스와 시작과 정지 및 상호작용 하는 윈도우 NT 하의 특별한 시스템 프로세스입니다.

lsass.exe : 로컬 보안 인증 하위 시스템 서비스는 시스템의 보안 정책을 강화를 위한 윈도우의 프로세스입니다. 이것은 윈도우 컴퓨터나 서버에 접속하는 유저들의 로그인을 검사하며, 비밀번호 변경을 관리하고, 액세스 토큰을 생성합니다.

lsm.exe : lsm은 로컬 세션 메니저 서비스로 윈도우 시스템의 일부입니다.

svchost.exe : 윈도우 NT 계열의 운영 체제에서 svchost.exe는 서비스를 관할하기 위한 프로세스의 이름이며 관련 이미지 (실행 파일)입니다.

spoolsv.exe  : 프린터가 글꼴을 이해하거나 그래픽을 해독 할 수 없으므로 인쇄 작업을 이미지로 시스템 메모리에 캐시하는 프로세스 인 인쇄 스풀러 서비스를 실행하는 실행 파일입니다.

vmtoolsd.exe : Windows 작업 관리자의 Vmtoolsd.exe 프로세스 VMware Tools 핵심 서비스라고하는 프로세스는 VMware의 소프트웨어 VMsare Tools에 속합니다.

dllhost.exe  : dllhost.exe는 윈도우 시스템에 기본으로 동작하는 프로세스로, COM+를 기반으로 사용하는 응용프로그램을 관리하는 역할을 합니다.

msdtc.exe : Microsoft Distributed Transaction Coordinator Service 또는 MS DTC 콘솔 프로그램 또는 Microsoft Corporation으로 알려진 프로세스입니다.

dwm.exe : 데스크톱 창 관리자(Desktop Windows Manager)의 프로세스로, 바이러스나 악성코드가 아닌 안전한 마이크로소프트 윈도우 시스템 프로세스입니다.

taskhost.exe : Microsoft Windows는 운영 체제입니다. 작업 호스트는 사용자가 Windows OS 환경에서 시스템 종료를 시도 할 때 팝업 창을 관리합니다.

SearchIndexer.exe : 컴퓨터내 파일을 미리 검색하여 색인(인덱싱)하는 프로세스입니다

sppsvc.exe  : 윈도우 서비스에 있는 Windows 및 Windows 응용 프로그램의 디지털 라이선스를 다운로드, 설치 및 적용할 수 있도록 합니다.

conhost.exe  : conhost.exe 프로세스는 명령 프롬프트의 각 인스턴스와이 명령 행 도구를 사용하는 모든 프로그램 (백그라운드에서 실행중인 경우와 같이 프로그램이 실행 중이 지 않아도)으로 시작됩니다.

TeamViewer.exe : 영상 회의 프로그램

tv_w32.exe : window 작업 관리자에서 Tv_w32.exe 프로세스 TeamViewr 성능 최적화 작업을 하는 프로그램입니다.

mstsc.exe  : Microsoft Windows는 운영 체제입니다. Microsoft 터미널 서비스 클라이언트는 원격 관리 서비스입니다. Mstsc.exe는 Microsoft 터미널 서비스 클라이언트를 여는 실행 파일입니다. 

 

outlook 프로세스 실행이후의 실행된 프로세스들을 살펴보도록 하겠습니다.

수상한 부분은 cmd.exe와 teamviewer.exe가 실행되었다는 점입니다. 사용자가 회의를 위해 teamviewer을 사용했을 수 도 있으니 일단 cmd.exe가 실행되었다는 것이 가장 의심스러워 보입니다. 일단 도대체 outlook프로세스에서 무슨일이 일어났길래 해커에게 제어권을 넘겨주게된건지 알아봐야할 것 같습니다. 메모리 덤프를 통해 프로세스에서 실행된 내용들을 분석해보도록 하겠습니다.

 

- memdump를 통해 Outlook 프로세스의 내용 분석하기

 

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss
	--profile=Win7SP0x86 memdump -p 3196 -D ./dumps
    
    C:\Users\user\OneDrive\바탕 화면\digiterForensic\GrrCON\dumps>
    	strings 3196.dmp > strings_3196.log

추출을 했다면 이제 검색해봐야합니다. 보통 해커들이 메일을 보낼때 Hello 부터 시작하지 않을까요? Hello를 검색해보겠습니다.

무엇인가 나왔습니다. 한번 내용을 살펴보도록 하겠습니다.

<meta http-equiv="Content-Type" content="text/html; 
charset=utf-8"><div dir="ltr">Hello Mr. Wellick,<div><br></div><div>
In order to provide the best service, in the most secure manner, 
AllSafe has recently updated our remote VPN software. 
Please download the update from the link below.</div><div><br></div><div>
<a href="http://180.76.254.120/AnyConnectInstaller.exe">
http://180.76.254.120/AnyConnectInstaller.exe</a></div><div><br></div><div>
If you have any questions please don't hesitate to contact IT support.
</div><div><br></div><div>Thanks and have a great day!
</div><div>AllSafe IT Support Desk</div></div>
SMTP:TH3WH1T3R0S3@GMAIL.COM

html 문서의 내용으로 보입니다. 업데이트가 되었으니 아래 링크로 들어가서 업데이트를 해달라는 내용 같습니다. 아마 해커가 보냈다고 하면 http://180.76.254.120/AnyConnectInstaller.exe 해당 url의 프로그램이 아마 악성 프로그램으로 의심됩니다. 또한, 해커의 ip가 180.76.254.120이 아닐까 의심됩니다. 또한 해커의 이메일 주소는 TH3WH1T3R0S3@GMAIL.COM이 아닐까 의심됩니다. 해당 이메일을 검색해보도록 합시다.

48개의 검색결과중에서 의미있는 값을 찾아내었습니다. 아마 frontdesk@allsafecybersec.com 이 메일은 프론트 데스크의 이메일 주소이고, th3wh1t3r0s3@gmail.com 이건 해커의 이메일 주소일 것 입니다. 이로써 문제를 해결했습니다. Grrcon 2015#1의 키는  th3wh1t3r0s3@gmail.com 입니다. 정답을 찾았지만 아쉬우니 조금 더 분석해보도록 하겠습니다.

 

- netscan 명령어로 통신상태 분석하기

winxp에서는 conncetions와 sockets 명령어를 사용했지만 winxp보다 높은 경우에는 netscan을 사용합니다.

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 netscan > netscan.log

outlook 프로세스와 연결된 ip는 10.1.1.3입니다. 우리는 이는 사설 ip 주소로 공인 ip가 아닌 사설 ip 주소입니다. 사설 ip 주소의 대역은 아래와 같습니다.

해커의 실제 ip 주소를 알아내기 위해선 공유기를 분석해봐야 알 수 있을 것 같다는 생각이듭니다. 

 

- 정리

해커는 스미싱 기법을 사용하여 메일로 사용자에게 http://180.76.254.120/AnyConnectInstaller.exe에 접속하여 exe 파일을 다운받게 만들었고, 사용자는 exe파일을 실행했을 것으로 추정, 이후 해커는 제어권을 넘겨받아 cmd를 실행하여 악행을 저질럿을 것으로 생각됩니다. 그렇다면 해커는 cmd로 무엇을 했는지 알아봅시다.

 

- cmdline, cmdscan, consoles 명령어를 사용하여 cmd 분석

 

volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdline > cmdline.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 cmdscan > cmdscan.log
volatility_2.6_win64_standalone.exe -f Target1-1dd8701f.vmss --profile=Win7SP0x86 consoles > consoles.log

explorer.exe 프로세스에서 생성한 cmd에대해 명령어가 있는지 확인해봤지만 위 명령어 빼고는 확인할 수 없었습니다. 해커가 악행은 저지르지 않았다는 것을 알 수 있었습니다.