Q. 공격자는 AllsafeCyberSec 사용자들을 피싱한 것으로 보인다. 사용된 악성코드 이름은?
-
Allsafecybersec가 감염된 파일임. 그럼, volatility로 dump를 한번 해보던가, psid를 찾아내던가 뭐라든 해야지
-
python volatility.py -f 파일명 --profile=os명 filescan | findstr 파일명
을하면, 파일 속에서 실행된 프로세스를 이름으로 검색해낼 수 있음. -
찾아 냈으면 dump해야지
python volatility.py -f 파일명 --profile=os명 dumpfiles -Q 찾아낸 offset -D ./
-p는 psid, -Q는 offset으로 프로세스 찾아서 dump함. -
명령 수행하면 2개의 파일이 나옴. 각각의 파일들을 온라인 Virus 검사기에 돌려보면, Xtrat에 감염되었다고 나옴.
Forensic/Security/IT