Yum_Yum

Memory Forensic #9 GrrCON 2015 #9

지문을 보면 관리자의 NTLM 암호 해시를 찾는 문제입니다.

NTLM (NT LAN MANAGER) : 윈도우에서 제공하고 있는 인증 프로토콜 중 하나로 Challenge-Response(도전-응답)라고 불리는 인증 프로토콜 방식을 사용

NTLM에 관한 암호 정보는 volatility 도구에서 hashdump라는 플러그인을 통하여 LM/NTLM에 관한 암호 해시 값을 쉽게 확인할 수 있습니다.

실행 결과를 확인해보면, 관리자(Adminstrator)의 NTLM 암호 해시를 확인할 수 있고, 플래그로 입력하면 문제를 해결할 수 있습니다.

Memory Forensic #8 GrrCON 2015 #8

이번 문제는 매우 상세한 분석이 필요한 문제입니다.

시스템에 악명 높은 해커의 정보가 존재한다고 하며, 해커가 나오는 영화의 이름을 찾는 문제입니다.

여러 플러그인으로 분석하던 중에 MFT와 관련된 정보를 통해 문제를 해결할 수 있었습니다.

MFT : NTFS 파일 시스템에서 가장 중요한 역할을 맡고 있으며, NTFS 볼륨상의 모든 파일에 대하여 적어도 한 개 이상의 엔트리를 가지고 있으며, 파일 크기나 사용 권한, 데이터 내용 등 파일에 관한 메타데이터 정보는 MFT에 저장되어 관리되고 있습니다.

volatility 도구에는 MFT에 관한 플러그인으로 mftparser는 MFT를 분석할 수 있는 플러그인으로 사용됩니다.

결과가 매우 방대한 양이기 때문에, 텍스트 파일로 따로 저장해서 분석하였습니다.

그리고 사용자 이름 (해커)에 관한 정보는 User 부분에 있을 것으로 예상하여 User를 검색하여 계속해서 분석을 진행하였습니다.

분석하던 도중, 이상한 이름을 발견해서 확인해보았습니다.

확인 된 Users의 이름으로는 ADMINI~1, FRONTD~1 등 딱히 이상하지 않은 이름들이었지만, zerocool이라는 이름은 누군가의 이름으로 보여 구글링을 통해 검색하였습니다.

검색해본 결과, Hackers라는 영화에 나오는 해커의 닉네임을 확인하였습니다.

따라서 영화 제목을 확인하였으므로 플래그로 입력하면 문제를 해결할 수 있습니다. 

Memory Forensic #7 GrrCON 2015 #7

지문 내용을 보면 악성코드는 종종 고유한 값이나 이름을 사용해서 시스템에서 자체 복사본 하나만 실행되록 하며, 악성코드가 사용하는 고유 이름을 찾는 문제입니다.

여기서 중요한 것은, 고유 값이나 이름을 사용해서 하나만을 실행하도록 하는 것을 Mutex라고 합니다.

뮤텍스 (Mutex) : 스레드들 간에서 공유가 배제되는 객체

따라서 악성코드에 대한 뮤텍스 정보를 확인하는 문제입니다.

volatility 도구의 handles 플러그인을 사용하고, 타입을 Mutant로 지정한 다음,  iexplore 프로세스에 대한 뮤텍스 정보를 확인하였습니다.

결과를 확인해보면 오프셋 값이 85d11700으로 된 dat 파일이 악성코드가 사용하는 파일명으로 확인할 수 있습니다.

따라서 dat 파일의 이름을 플래그로 입력해주면 문제를 해결할 수 있습니다.

Memory Forensic #6 GrrCON 2015 #6

지문을 보면 악성코드가 C&C 서버에 재인증시 사용하는 비밀번호를 찾는 문제입니다.

여기서 비밀번호가 담긴 파일들은 이메일 첨부 파일, 인젝션 프로세스 등을 생각할 수 있으며, C&C 서버는 감염된 좀비 PC로부터 정보를 수집하는 단말기이며 PC를 좀비PC로 감염시키는 것은 인젝션 된 프로세스라고 생각할 수 있습니다.

따라서 인젝션 프로세스 정보에 비밀번호가 담겨져 있을 수 있습니다.

프로세스 인젝션 된 프로세스를 분석하기 위해서는 memdump라는 프로세스 덤프 파일을 분석할 수 있는 플러그인을 활용하여 프로세스 인젝션 되었던 iexplore.exe 프로세스 파일을 복구해야 합니다.

이전 문제에서 iexplore.exe의 PID는 2996이었으므로, memdump 플러그인을 사용하여 복구하였습니다.

복구가 완료 된 프로세스를 사람이 쉽게 읽을 수 있는 문자열로 바꿔주는 strings 프로그램을 이용하여 계속해서 분석을 진행하였습니다.

텍스트 파일에서 패스워드를 찾기 위해 이전 문제에서 확인하였던 MrRobot을 활용하였습니다.

이 레지스트리 Key는 악성 프로그램이 재실행되는 역할을 하였고, C&C 서버에 비밀번호를 사용해서 인증하기 때문에 PC가 재부팅 될 때 레지스트리 Key가 실행된 다음, 비밀번호를 인증할 것이라고 추측할 수 있습니다.

따라서 해당 레지스트리 Key가 문자열로 위치한 곳 주변에 비밀번호가 존재할 수 있습니다.

Sublime Text3를 활용하여 MrRobot 문자열을 검색하였습니다.

검색 결과, 비밀번호가 대소문자를 구별하면서 영어와 숫자가 조합된 문자열이라고 생각해보면 주변에서 확인된 GrrCon2015 문자열이라는 것을 확인할 수 있습니다.

따라서 문자열을 플래그로 입력해주면, 문제를 해결할 수 있습니다.

Memory Forensic #5 GrrCON 2015 #5

문제 지문에서 재부팅 후에도 지속성을 유지한다는 내용을 보면 프로그램을 자동 실행해주는 Run이라는 레지스트리 Key를 생각해볼 수 있습니다.

따라서 volatility에서 레지스트리 키 값을 보여주는 printkey 플러그인과 지문에 대한 레지스트리 Key인 Microsoft\Windows\CurrentVersion\Run을 입력하여 확인하였습니다.

결과를 확인해보면 Run 키에 MrRobot라는 이름을 확인할 수 있습니다.

MrRobot이 AnyConnectInstaller.exe라는 악성코드 파일이 사용하는 레지스트리 Key인 것을 확인하여 문제를 해결할 수 있습니다.

Memory Forensic #4 GrrCON 2015 #4

vmss 하나의 문제 파일로 계속해서 이어 풀어나가는 문제입니다.

공격자의 악성코드가 프로세스 인젝션으로 사용되는 것을 확인하였습니다.

프로세스 인젝션 : 프로세스를 파일에 추가한 다음, 해당 프로그램이 실행이 되면, 인젝션 된 프로세스에 대한 프로그램도 같이 실행 되는 것입니다.

프로세스에 대한 정보를 보기 위하여 pstree 플러그인을 이용하여 프로세스 정보를 확인하였습니다.

pstree 플러그인으로 프로세스 정보를 확인하던 도중, 이상한 점을 발견하였습니다.

추가 정보에서 보시면 원래 iexplore.exe 프로세스는 위에 있는 explorer.exe에 대한 하위 프로세스로 출력되어야 정상입니다.

하지만, iexplore.exe 프로세스는 따로 독립적으로 실행되는 것으로 확인됩니다.

따라서 iexplore.exe 프로세스는 일반적 실행이 아닌, 강제적으로 실행된다고 생각하였습니다.

iexplore.exe 프로세스가 이상하다고 생각하여 PID 입력 결과, 문제를 해결할 수 있었습니다.