*이전 실습과 이어짐
↓↓↓↓
pstree로 프로세스를 확인해 보면 의심스러운 프로세스가 두 개 발견된다.
첫번째는 cmd.exe이지만, ipconfig.exe가 실행되었음을 보아 정상적인 프로세스임을 알 수 있다.
두번째는 SkypeC2AutoUpd로, 상위 프로세스 없이 혼자 존재하는 프로세스이다. Skype를 더 살펴본다.
cmdscan으로도 분석해보았으나, 아무 내용도 나오지 않았다.
iehistory로도 내용을 찾아보면, SkypeC2AutoUpd가 phillip이라는 사용자 경로에 저장되어있으고, docx파일과도 연관이 있음이 나타난다.
메모리 덤프를 떠서 더 살펴본다.
SkypeC2AutoUpdate.exe 파일을 찾았다. 복구를 해서 악성코드인지 확인해본다.
filescan과 findstr을 이용하여 Skype의 메모리 주소를 알아내고, dumpfiles를 이용하여 복구한다.
img 파일과 dat 파일이 생성되었다.
악성코드인지 확인하기 위해 바이러스 토탈 사이트에 업로드
VirusTotal
www.virustotal.com
dat 파일을 먼저 검사해보면, 악성파일임을 알 수 있다.
img 파일은 악성파일이 아니다.
dat파일을 sky.exe파일로 바꾼 후 txt파일을 추출해보거나, 언팩 여부를 확인하는 과정도 필요하다.
1364.txt 파일을 마저 분석해보면, 많은 dll 파일이 있음을 알 수 있다.
dll 파일들이 많이 참조를 하고 있어 dll 인젝션을 의심할 수 있다. temp 폴더를 확인해본다.
temp 경로를 찾기 위해 temp.txt 파일로 검색결과를 추출한다.
추출된 temp.txt에서 Temp\경로의 avicap32.dll 파일이 발견됐다.
avicap32.dll의 메모리 주소를 알아내고 파일을 복구한다.
생성된 파일의 이름을 mal.exe파일로 바꾸고 바이러스 토탈에 다시 검사해본다.
악성코드로 검사 됐고, trojan-spy angent 유형으로 나온다.
avicap32.dll을 검색해보면 기사가 나오는데 이를 통해 team viewer와 관련된 dll을 통해 추가적인 백도어 기능을 하는 악성코드임을 알 수 있다.
*해당 기사↓↓↓↓
'Forensics' 카테고리의 다른 글
| [포렌식] 네트워크 패킷 포렌식 (0) | 2021.02.08 |
|---|---|
| [포렌식] 침해사고 포렌식 (0) | 2021.02.01 |
| [포렌식] Volatility 사용법 (0) | 2021.01.20 |
| [포렌식] 디지털 포렌식 (0) | 2021.01.18 |
| [포렌식] 로그분석 실습 (0) | 2021.01.16 |
