Q. 공격자는 프론트 데스크 PC를 손상시키기 위해 일부 도구를 옮긴 것으로 보인다. 그 도구들은 무엇인가?
흠.. 일단 우리는 지금까지 outlook 메일을 통해서 AnyConnectInstaller.exe가 왔고
이걸 실행함에 따라서 iexplore가 감염되었음을 알고 있음.
그러면 iexplore가 실행한 파일 중 뭐가 있지 않을까?
iexplore의 pid는 2996이니
python vol.py -f 파일명 --profile=os memdump -p 2996 -D ./
실행
아무튼 저거 하고 나서, dmp파일을 strings 하면, exe 잔뜩 나옴.
그중에서 힌트로 g가 시작한걸 빼라고 했으니, temp 폴더 중에 나옴.
memdump는 2번 결과가 나왔고
dumpfiles를 해봤음. 그러니 img파일이랑 dat 파일 2개가 나와서 이거 strings 돌려봤는데 이건 딱히 특별하게 나온게 없었음.
파일 자체 / 파일이 접근한 메모리 차이 정도로 이해하면 될라나?
더 찾아봐야할듯.