Test

#About

Berthier, the antivirus software didn't find anything. it's up to you now. Trty to find the malware in the momory dump. The vailidation flag is the md5 checksum of the full path of the executable.

The uncompressed memory dump md5 hash is e3a902d4d44e0f7bd9cb29865e0a15de

#Solution

[그림 1] - 문제 파일 확인

문제로부터 제공받은 512MB의 메모리 덤프 파일을 분석하기 위해 먼저 운영체제 정보를 확인해보았다

[그림 2] - 운영체제 정보 확인

운영체제 정보 확인 결과, Win7SP0x86, Win7SP1x86이 제안되었으며 이를 인자로 준 뒤, 프로세스 목록을 먼저 살펴보았다

[그림 3] - 프로세스 목록 확인

프로세스 목록 확인 결과, 가장 의심스러운 부분은 위에서 볼 수 있듯, cmd.exe가 iexplore.exe의 하위 프로세스로 돌아가고 있었다

cmd.exe는 iexplore.exe가 아닌 위 그림에서 PID=2548에 해당하는 explorer.exe의 하위 프로세스로 돌아가야 한다

따라서 iexplore.exe로부터 cmd.exe를 통한 명령 작업을 수행하는 malware일 것으로 판단, 악성코드나 멀웨어가 자주 사용하는 

레지스트리를 분석하기위해 hivelist 플러그인을 이용, 레지스트리 하이브 파일을 확인해보았다

[그림 4] - 레지스트리 하이브 목록 확인

확인 된 레지스트리 하이브 목록 중, 악성코드나 멀웨어가 선호하는 레지스트리 경로는 SOFTWARE에 위치하며 여러가지 경로 중 하나는 아래와 같다

SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\Run

위 경로의 Run 키에 등록된 파일은 윈도우 운영체제가 시작할 때 자동으로 실행되는 곳이며 

해당 경로 이외에도 다수 존재하는 경로 정보의 자세한 사항을 알고 싶다면 아래 링크를 참조하길 바란다

http://securityfactory.tistory.com/131

[그림 5] - Malware가 위치하는 경로 정보 확보

위 [그림 5]에서 확인했던 레지스트리 키에 자동으로 iexplore.exe가 실행되도록 설정되어 있었으며, 본래 iexplore.exe가 

위치하는 경로는 C:\Program Files\Internet Explorer\iexplore.exe임을 감안했을 경우 문제에서 야기하는 Malware임을 판단할 수 있었다

[그림 6] - Malware 절대경로의 md5 해시 값 확인