Q. 공격자는 프론트 데스크 PC를 손상시키기 위해 일부 도구를 옮긴 것으로 보인다. 그 도구들은 무엇인가?
흠.. 일단 우리는 지금까지 outlook 메일을 통해서 AnyConnectInstaller.exe가 왔고
이걸 실행함에 따라서 iexplore가 감염되었음을 알고 있음.
그러면 iexplore가 실행한 파일 중 뭐가 있지 않을까?
-
iexplore의 pid는 2996이니
python vol.py -f 파일명 --profile=os memdump -p 2996 -D ./
실행- memdump / dumpfiles 뭐가 다른거지?
- dumpfiles : 프로세스가 생성/삭제/접근/수정 한 파일 메모리에서 추출 할 수 있는 파일을 추출 한다. 특정 파일에서 추출하는건 -Q 옵션 사용해서 offset 쓰면 되는데 이거 말고도 옵션 많음.
- memdump : 윈도우 가상 메모리를 파일로 추출한다. 디폴트로 모든 프로세스의 가상 메모리를 추출한다. -p 옵션을 사용하면 특정 프로세스 대상으로 가상 메모리 주소를 추출함.
-
아무튼 저거 하고 나서, dmp파일을 strings 하면, exe 잔뜩 나옴.
그중에서 힌트로 g가 시작한걸 빼라고 했으니, temp 폴더 중에 나옴.
memdump는 2번 결과가 나왔고
dumpfiles를 해봤음. 그러니 img파일이랑 dat 파일 2개가 나와서 이거 strings 돌려봤는데 이건 딱히 특별하게 나온게 없었음.
파일 자체 / 파일이 접근한 메모리 차이 정도로 이해하면 될라나?
더 찾아봐야할듯.
Forensic/Security/IT