[MEMORY] XCZ > Memoryyyyy Dumpppppp

#About

어느날 나는 커피집에서 노트북을 놓고 잠시 자리를 비웠다.

그리고 다시 와서 작업을 하다가 작업프로그램이 갑자기 꺼졌고, 작업파일들이 모두 다 삭제되었다.

원인을 찾기 위해 나는 서둘러 메모리 덤프를 만들었다.

이 메모리 덤프파일을 분석하여 다음 정보를 알아내자.

키 형식 : (Process Name_PID_Port_Process Execute Time(Day of the wekk-Month-Day-Hour:Min:Sec-Years)

ex (explorer.exe_1234_7777_Mon-Jan-01-12:00:00-2012)

---

#Solution

[그림 1] - 문제 파일 확인

127MB의 메모리 덤프 파일을 확인했으며 볼라틸리티로 분석을 위해 운영체제 정보를 확인해보았다

[그림 2] - 운영체제 정보 확인

확인 된 운영체제 정보들은 추후 다른 명령을 사용함에 있어 인자로 사용되며, 먼저 문제에서 요구하는 사항 중 프로세스가 포함 되므로

연결 및 종료된 프로세스 정보를 확인하기 위해 pslist 명령을 이용하여 아래와 같이 확인해보았다

[그림 3] - 연결 및 종료 된 프로세스 정보 확인

확인된 위 프로세스 정보에서는 cmd.exe의 PID=164, PPID=1124인 부분을 확인했을 경우, cmd.exe가 nc.exe의 하위 프로세스로 

동작하고 있으며 또한 그 하위로 PID=616을 가지는 cmd.exe이 동작했다. 이는 늘 explorer.exe의 하위로 동작하는 cmd.exe와는 

다른 모습을 보여 의심 사기에 충분했으며 해당 프로세스 정보 이외에도 다른 아티팩트를 찾기 위해 네트워크 연결정보를 확인해보았다

[그림 4] - 네트워크 연결 정보 확인

네트워크 연결 정보를 확인결과, 로컬에서 원격지로 연결되는 오로지 하나의 레코드가 존재 했으며 PID 값은 1124를 가지고 있었다

[그림 3]에서 악성 프로세스로 의심했던 PID 값 1124를 가지는 nc.exe는 네트워크와 관련한 프로그램이 메모리에 상주하고있었다

또한 psxview 명령을 이용, 은폐된 프로세스를 확인했을 때 공교롭게도 아래와 같이 nc.exe가 존재함을 확인했다

[그림 5] - 은폐 된 프로세스 목록 확인

psxview 명령은 프로세스 관련 다른 명령에 의해 보이는 것과 비교하여 프로세스가 은폐되었는지에 대한 진위 여부를 확인할 수 있다

정확한 분석을 위해서는 모든 아티팩트를 조사 및 분석을 해야 알 수 있겠지만 예상되는 시나리오는 다음과 같다

노트북을 두고 잠시 자리를 비운 사이 해커로 추정되는 누군가 노트북에 네트워크 연결과 관련 프로그램인 nc.exe를 

외부저장매체를 통해 다운로드 및  nc.exe의 실행을 통해 해커의 C&C 서버로 추정되는 1.226.182.38:59495와 연결되었고, 

해커는 C&C서버에 노트북의 작업파일을 삭제하는 명령을 통해 노트북의 주인이 작업하던 파일이 모두 삭제되었다 

인증키 = nc.exe_1124_80_Fri-Nov-02-09:06:48-2012