Forensic Analysis

Similar documents
1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

(SW3704) Gingerbread Source Build & Working Guide

슬라이드 1

Install stm32cubemx and st-link utility

ActFax 4.31 Local Privilege Escalation Exploit

슬라이드 1

Malware Analysis

P2WW HNZ0

ISP and CodeVisionAVR C Compiler.hwp

Microsoft PowerPoint - 권장 사양

The Pocket Guide to TCP/IP Sockets: C Version

PowerPoint 프레젠테이션

CODESYS 런타임 설치과정

Windows 8에서 BioStar 1 설치하기

Secure Programming Lecture1 : Introduction

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

PowerPoint 프레젠테이션

DDoS 공격, 게임계정유출해커, 비트코인등가상화폐노린다 - 13 년 10 월부터 DDoS, 원격제어, 게임계정유출하더니최근암호화폐채굴 - 개요지난 13 년 10 월,Microsoft 社의인터넷익스플로러취약점 (CVE ) 을통해유포되는악성코드가 DDoS

처음에 읽어 주십시오 본 제품을 사용하시기 전에 이 사용설 명서를 자세히 읽고 장래에 참조할 수 있도록 소중히 보관하여 주십시오. 한국내 고객용 경고 화재 또는 감전의 위험을 줄이기 위해 장치를 비 또는 습기에 노출시 키지 않도록 하여 주십시오. 배터리를 햇빛, 불 등

컴퓨터관리2번째시간

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK


Microsoft Word - Crackme 15 from Simples 문제 풀이_by JohnGang.docx

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Tablespace On-Offline 테이블스페이스 온라인/오프라인

Dropbox Forensics

안전을 위한 주의사항 제품을 올바르게 사용하여 위험이나 재산상의 피해를 미리 막기 위한 내용이므로 반드시 지켜 주시기 바랍니다. 2 경고 설치 관련 지시사항을 위반했을 때 심각한 상해가 발생하거나 사망에 이를 가능성이 있는 경우 설치하기 전에 반드시 본 기기의 전원을

Microsoft PowerPoint - AME_InstallRoutine_ver8.ppt

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

P2WW HNZ0

CL100B_manual_kor_m.0.2.indd

슬라이드 1

ICAS CADWorx SPLM License 평가판설치가이드

윈도우 비스타를 윈도우 7로 업그레이드 1단계 1 단계: Windows 7(윈도우 7)의 어떤 버전으로 업그레이드할 수 있습니까? 아래 표에서는 Windows 7(윈도우 7)로 업그레이드할 수 있는 Windows Vista(윈도우 비스타) 버전에 대해 설명합니다. 업그

(72) 발명자 서진교 경기 용인시 수지구 풍덕천2동 1167 진산마을 삼성5차아파트526동 1004호 조필제 경기 용인시 풍덕천동 유스빌 401호 - 2 -

Boot Camp 설치 및 설정 설명서

PCServerMgmt7

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

RHEV 2.2 인증서 만료 확인 및 갱신

PowerPoint Template

USER Manual

*2008년1월호진짜

먼저 읽어 보세요! 주 의 : 화재의 위험을 줄이려면, 본 장비를 비 혹은 습기에 노출하지 않도록 하시기 바랍니다. 화재의 위험을 줄이려면, 본 장비를 모든 종류의 액체로부터 멀리하시기 바랍니다. 액체가 흐르거나 튈 염려가 없는 장소에 보관하시고, 장비 위에 어떤 종류

USER Manual

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Microsoft PowerPoint - o8.pptx

목차 제 1 장 inexio Touch Driver소개 소개 및 주요 기능 제품사양... 4 제 2 장 설치 및 실행 설치 시 주의사항 설치 권고 사양 프로그램 설치 하드웨

CLX8380_KR.book

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

ARMBOOT 1

BMP 파일 처리

1217 WebTrafMon II

ODS-FM1

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

User Guide

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

Sena Device Server Serial/IP TM Version

MF5900 Series MF Driver Installation Guide

iii. Design Tab 을 Click 하여 WindowBuilder 가자동으로생성한 GUI 프로그래밍환경을확인한다.

Ä¡¿ì³»ÁöÃÖÁ¾

문서의 제목 나눔고딕B, 54pt

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

bn2019_2

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

버퍼오버플로우-왕기초편 10. 메모리를 Hex dump 뜨기 앞서우리는버퍼오버플로우로인해리턴어드레스 (return address) 가변조될수있음을알았습니다. 이제곧리턴어드레스를원하는값으로변경하는실습을해볼것인데요, 그전에앞서, 메모리에저장된값들을살펴보는방법에대해배워보겠습

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

NTD36HD Manual

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

untitled

IRISCard Anywhere 5

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

2004 IRISPen 사용자 설명서-본문-용지크기 조정-폰트포함.PDF

1


디지털포렌식학회 논문양식

삼성전자는 Windows 를 권장합니다. PC 소프트웨어 PC 솔루션 삼성 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트 스타트 Easy File Share (PC to PC) (삼성 컨

디지털포렌식학회 논문양식

2 사용하기 전에 안전을 위한 주의사항 1 사용하기 전에 주의사항은 경고 와 주의 의 두 가지로 구분되어 있으며, 의미는 다음과 같습니다. >: 이 그림 기호는 위험을 끼칠 우려가 있는 사항과 조작에 대하여 주의를 환기시키기 위한 기호입니다. 이 기호가 있는 부분은 위

시스템요구사항엔터프라이즈및중소기업용

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>

사용 설명서 이용 안내 사용 설명서의 내용은 제품의 펌웨어 버전에 따라 사용자에게 통보 없이 일부 변경될 수 있습니다. 제품의 특장점 기능을 살펴보려면 '특장점' 6쪽을 참조하세요. 제품 사용 중 문제가 발생하면 'A/S를 신청하기 전에' 53쪽을 참조하세요. 제품에

강의 개요

레프트21

스포일러 스포일러 기획 이슈 학교 미디어교육을 위한 협력의 물꼬를 트다 Contents 스포일러 새롭고 여전한 미디어현장을 만들어가는 사람들 기획 + 특집 학교 미디어교육을 위한 협력의 물꼬를 트다 문연옥 인물 + 인터뷰 성서공동체FM 정수경 대표 정보 + 기술 이현주

(b) 미분기 (c) 적분기 그림 6.1. 연산증폭기연산응용회로

K835PCM1DMX-K

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B


임베디드시스템설계강의자료 4 (2014 년도 1 학기 ) 김영진 아주대학교전자공학과

실험 5

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Transcription:

Forensic Analysis 침해사고대응분석 Yuri s PC 침해사고분석보고서 11/13/2015 By Kali KM

2 Forensic Analysis 목차 1 분석결과요약... 4 1.1 의뢰내용요약... 4 1.2 해당 PC 악성코드감염사항... 4 2 증거수집및분석도구... 5 2.1 증거수집도구... 5 2.2 분석도구... 6 3 증거수집... 6 3.1 증거물대상과수집 PC 환경... 7 3.2 증거메모리수집 : 2015-11-12 19:45:27... 8 3.3 증거레지스트리수집 : 2015-11-12 20:12:03... 8 3.4 증거 PC 의 $MFT 수집 : 2015-11-12 20:18:34... 9 3.5 의뢰자에게별도로받은의심파일 : 2015-11-13 03:41:50... 9 4 상세분석내용... 9 4.1 MFT 분석을통한시간대확인... 9 4.2 해당프로그램침입경로확인... 10 4.3 기타침해입증자료... 12 4.4 해당프로세스의악성코드여부확인... 13 5 대응방안... 15 6 별첨목록... 16 페이지 2 / 16

3 Forensic Analysis 그림 그림 1. 악성코드행위타임라인... 4 그림 2. 증거수집과이송절차... 7 그림 3. MFT 분석... 10 그림 4. USB 연결흔적확인... 10 그림 5. VID_058F&PID_6366 LastWriteTime... 11 그림 6. 지속성유지를위한레지스트리추가... 12 그림 7. Economices.exe 실행시간... 12 그림 8. PEiD 의출력결과... 13 그림 9. 해당파일의리소스섹션... 14 그림 10. Python Code 복구과정... 14 표 표 1. 증거수집도구... 5 표 2. 증거분석도구... 6 표 3. 증거수집대상... 7 표 4. 증거수집대상 PC 환경... 8 표 5. 수집된레지스트리관련자료... 8 표 6. MFT 파일크기와해시값... 9 표 7. Economices.exe 의크기와해시값... 9 표 8. 악성코드유입에사용된 USB 의정보... 11 표 9. 증거대상... 12 표 10. Netstat 을통해본연결상태... 13 페이지 3 / 16

4 Forensic Analysis 1 분석결과요약 증거물분석결과를간략히요약한페이지입니다. 의뢰내용요약, 의뢰내용과기타 범행입증자료에대한결과를제공합니다. 1.1 의뢰내용요약의뢰내용은의뢰자 ( 피해자 ) 가사건현장에서잠시자리를비우고, 복귀후해당 PC 에이상프로세스 (Economices) 가동작중임을의뢰자가인지하였으며이에따라해당프로세스가어디서유입이되었는지, 어떠한기능을하며, 추가적인 2 차피해가발생할수있을경우대응방안에대하여조사를의뢰하였습니다. 자세한내용은아래와같이 2 개로나뉩니다. - 실행된프로세스 (Economices.exe) 의악성코드여부 - 2 차피해발생가능성여부와대응방안 1.2 해당 PC 악성코드감염사항의뢰자의 PC 에대하여해당악성코드와관련하여분석결과를시간순으로나타내면아래와같습니다. 그림 1. 악성코드행위타임라인 피의자는피해자가자리를비운사이 2015-11-12 19:39:30 에피해자의 PC 에 자신의 USB 로연결을하였습니다. 페이지 4 / 16

5 Forensic Analysis 연결후 eco 라는폴더를생성하였으며, 해당디렉터리에 Economices.exe 를 저장하고실행하였으며, 이는피해자의키이벤트내용을피의자의 PC 로 전송하는개인정보침해를유발하는프로그램입니다.. 실행후피의자는피해자의 PC 레지스트리에등록을하여지속적으로 피해자의정보를얻으려하였다는것을알수있습니다. 이후피의자는 2015-11-12 19:41:57 에 USB 연결을해제하였습니다. 2 증거수집및분석도구 증거수집과분석에사용된도구들의이름과버전, 그리고각각사용된용도에따라 정리를한페이지입니다. 2.1 증거수집도구 증거수집에사용된도구들에대하여정리하였으며이러한도구에대한내용은 아래의 [ 표 1] 와같습니다. 수집 버전 제조사 다운로드 용도 도구 DumpIt v1.3.2.2011 0401 MoonSol s http://www.moonsols.com/2011/07/18/mo onsols-dumpit-goes-mainstream/ 메모리수집 REGA 1.5.0.4 4&6Tech http://forensic.korea.ac.kr/tools/rega.html 레지스트리수집 WinHex 18.2.0.0 X-Ways http://www.x-ways.net/winhex/ MFT 수집 FTK Imager 3.3.0.5 AccessDa ta http://accessdata.com/product-download MFT 수집 표 1. 증거수집도구 페이지 5 / 16

6 Forensic Analysis 2.2 분석도구 분석단계에서사용한도구는아래 [ 표 -2] 와같습니다. 도구명 버전 다운로드 용도 REGA 1.5.0.4 http://forensic.korea.ac.kr/tools/rega.html Registry 분석 NTFS Log Tracker 1.4 https://code.google.com/p/ntfs-logtracker/ MFT 분석 Volatility 2.3.1 https://code.google.com/p/volatility/ 메모리분석 Rekall 1.4.1 https://github.com/google/rekall 메모리분석 Event Viewer 10.0.1 0240.1 MicroSoft Windows 이벤트로그분석 6384 PEiD 0.95 https://tuts4you.com/download.php?view.3 PE 구조분석 98 PE View 1.10 http://sourceforge.net/projects/peview/ PE 구조분석 HxD 1.7.7.0 http://mh-nexus.de/en/hxd/ 바이너리분석 Unpy2exe. https://github.com/matiasb/unpy2exe Python Code 복구 Uncompyle2. https://github.com/mysterie/uncompyle2 Python Code 복구 표 2. 증거분석도구 분석단계에있어서 Volatility 와 Rekall 을통하여수집한메모리를분석하려했으나, 수집단계나이송에문제가있었는지해당 YURI-PC-20151112-110112.raw 정상적으로 인식되지않아수집한메모리를통한분석은하지못하였습니다. 3 증거수집 본증거물은의뢰자 PC 로부터 2015-11-12 19:44:12 부터조사자의 USB 를연결하여수집을시작하였으며, 해당의뢰자의동참하에진행되었습니다. 그리고각분석의진행을시간순으로정렬한내용은아래와같습니다. 페이지 6 / 16

7 Forensic Analysis 그림 2. 증거수집과이송절차 증거물수집과정에있어고려해야할사항은다음과같습니다. 의뢰자의인터뷰 - 전체적인이미징은거부함에따라선별적인증거수집 - 압수수색이아니기에의뢰자가동의한사항에서만증거수집 증거수집에있어의뢰자가동참하였으며해당의뢰자의요청으로인하여지정된수준까지만수집이가능 의뢰자는증거수집이끝난후본인의작업 (LoL) 을해야함에따른시간상의제약이존재 * 증거수집에있어해당 PC 의메모리수집이올바르게되지않았기에해당프로그램에대하여추가적인분석을위하여의뢰자에게해당 PC 의 Economices.exe 를전송해줄것을요청하였고 15-11-13 03:41:50 해당파일을수신하였습니다. 3.1 증거물대상과수집 PC 환경수집대상에대하여충분한설명을의뢰자에게하였으며이에따른동의가있고증거수집을하였기에선별적인증거수집이이루어졌으며, 의뢰자가수집에동의한사항은아래의표와같습니다. 표 3. 증거수집대상 메모리 이벤트로그 증거수집대상 레지스트리 $MFT 페이지 7 / 16

8 Forensic Analysis 분석대상컴퓨터환경에대한기본정보는아래의표와같습니다. 대상 PC 환경 운영체제 Windows7 Ultimate K 서비스팩 Service Pack 1 프로세서 Intel Core i5-4570 CPU @ 3.20 GHz 메모리 8.00GB 시스템종류 64 비트운영체제 표 4. 증거수집대상 PC 환경 3.2 증거메모리수집 : 2015-11-12 19:45:27 메모리수집에있어 DumpIt 을통하여디스크의변질을최소화하기위하여조사자의외부 USB 로메모리수집을진행하였으며 YURI-PC-20151112-110112.raw 로저장이되었습니다. DumpIt - 19:45:27 Address space size : 9110028288 Bytes ( 8688 Mb ) Free space size : 14673256448 Bytes ( 13993 Mb) Destination: \??\G:\Ghost\Tool\forensic_tool\DumpIt\YURI-PC-20151112-110112.raw SHA-1 : 86d99e1e756c90d34f5f27253d986b98a2974955 3.3 증거레지스트리수집 : 2015-11-12 20:12:03 REGA 를통한레지스트리수집을하였으며수집된레지스트리파일은아래의 [ 표- 5] 와같으며, 이렇게수집된레지스트리에대한해시와시간은 [ 별첨-1] 을통하여확인할수있습니다. 수집된레지스트리관련자료 Amcache.hve COMPONENTS DEFAULT Default User.NTUSER.DAT Default.NTUSER.DAT SAM SECURITY SOFTWARE SYSTEM YuRi.NTUSER.DAT YuRi.USRCLASS.DAT Setupapi.app.log 표 5. 수집된레지스트리관련자료 페이지 8 / 16

9 Forensic Analysis 3.4 증거 PC 의 $MFT 수집 : 2015-11-12 20:18:34 FTK Imager 와 WinHex 를통하여 $MFT 와 $LogFile, $J 파일을수집하였으며, 이 파일에대한해시값은아래와같습니다. File Size SHA-1 Hash $J 1.58GB 8a8f8d00d8ad417d60cfece9ba835c341d728f4a $LogFile 64.0MB 38101525002df66985afca4e5c0cbb8b973f96f8 $MFT 295MB dfbe0ec0bbcf3ec9fdfacf44516429dd0ab34d39 표 6. MFT 파일크기와해시값 3.5 의뢰자에게별도로받은의심파일 : 2015-11-13 03:41:50 해당의심파일이의뢰자에 PC 에남아있음을인지하였으며이에대해의뢰자에게송신해줄것을요청하였으며, 이러한요청에의해 2015-11-13 03:41:50 에해당파일을송신하였습니다. 파일에대한내용은아래의표와같습니다. Economices.exe Size 8.85 MB SHA-1 BC6D28E10CAA9508175F25F97A549C1C02F28067 표 7. Economices.exe 의크기와해시값 해시값을통하여전송한파일과수신한파일간에무결성이유지되었음을확인할 수가있었습니다. 4 상세분석내용 상세분석내용을제공하는페이지입니다. 의뢰자의 PC 에서수집한증거를분석실로이송후조사자의분석환경에해당증거들을옮긴후분석을진행하였습니다. 4.1 MFT 분석을통한시간대확인의심되는프로세스 (Economices.exe) 에대한타임스탬프를확인할것이며. 사건현장은상대적으로의뢰자의지인이많이찾아오는장소로동시간대에의뢰자가잠시자리를부재한사이 (19:35:00-19:43:00) 에발생한것임을고려하여야합니다. 페이지 9 / 16

10 Forensic Analysis 이를토대로근처시간대를확인할것이며해당시간대에의심되는파일이 생성되거나실행되었는지를확인하기위하여 MFT 를분석해보았습니다. 그림 3. MFT 분석 위의그림과같이해당프로그램은 \Documents\ 카카오톡받은파일 에 eco 폴더를 생성후 (19:40:12) 해당경로에저장 (19:40:14) 이되었다는것을확인할수가있습니다. 이에대한 csv 파일은 [ 별첨 -3] 과 [ 별첨 -4] 에서확인할수있습니다. 이를통해의뢰자가자리를비우고약 5 분이지난후제 3 자에의해해당파일이 생성되었음을알수가있습니다. 4.2 해당프로그램침입경로확인 위의 MFT 분석을통해시간대를축소할수가있었으며, 이러한시간에이루어진 레지스트리변경사항에대하여분석해보았습니다. 그림 4. USB 연결흔적확인 페이지 10 / 16

11 Forensic Analysis 그림-4 과같이해당시간 (19:39:30) 에 USB 와연결한흔적들을확인할수가있었으며이를통해해당프로그램이 USB 를통하여복사되었음을예상할수가있습니다. 하지만여기서최초장비연결시더많은레지스트리의값이변화하는데몇개의값만이변화되었기에해당 USB 는이번이최초연결이아님을알수가있습니다. 이는그림 -5 를보면알수있듯이해당필드의한칸상위인 VID_058F&PID_6366 의 값은마지막으로쓰여진값이 2015-10-04 03:11:47 인것을통해해당일자에최초로 PC 에연결이되었으며이번이최초연결이아님을알수가있습니다. 그림 5. VID_058F&PID_6366 LastWriteTime 이를통해해당프로그램 Economices.exe 를설치한피의자는의뢰자의지인임을 예상할수가있었으며, 여기에사용된 USB 의정보는아래의표와같습니다. VID 058F PID 6366 Serial 058F6366438 Volume GID b8017014-5631-11e5-ac07-d0509901c143 Manufacturer Multiple Product Model Card Reader Product Revision 1.00 Device Vendor Generic Device Name Mass Storage Device Device Revision 0100 표 8. 악성코드유입에사용된 USB 의정보 페이지 11 / 16

12 Forensic Analysis 해당 USB 에대한사용흔적은수집한대상 PC 의 DriverFrameworks-UserMode 이벤트로그에도기록되었는데, 이에대해표-8 을보면 19:39:32 에연결하였다는항목을보아위그림-4 과그림-5 에서의내용에신빙성을더해주며, 해당 USB 의연결해제가 19:41:57 에이루어졌다는것또한확인을할수가있습니다. 자세한사항은 [ 별첨-5] 를통해확인할수있습니다. 표 9. 증거대상 4.3 기타침해입증자료아래의그림과같이해당파일의경로와해당 Economices.exe 가레지스트리에추가된것 (19:41:33) 을확인할수가있으며이는 USB 를연결해제 (19:41:57) 하기전에등록된것임을알수가있으며, 값이추가되었다는것은컴퓨터를종료후다시실행할때마다해당프로그램이자동실행되는것을의미하며이는악성코드가지속성을유지하고자할때주로쓰는방법입니다. 그림 6. 지속성유지를위한레지스트리추가 그림 -7 과같이해당프로그램은 19:40:47 에실행이된것임을확인할수가있습니다. 그림 7. Economices.exe 실행시간 페이지 12 / 16

13 Forensic Analysis 대상 PC 의증거를수집하며네트워크연결상태도확인을해보았으며이에대한 사진은 [ 별첨 -6] 을통해볼수있고, 이를토대로중요한사항인 3226(Economices.exe) 은 현재같은 IP 영역대인 192.168.0.5 와네트워킹을하고있었음을알수가있습니다. Protocol Local Address Foreign Address State PID TCP 192.168.0.3:51010 192.168.0.5:7222 ESTABLISHED 3226 표 10. Netstat 을통해본연결상태 이를통하여해당프로그램은같은 IP 에있는의뢰자의친구김 00 씨의 PC 가 연결된주소로, 2 대의 PC 가네트워킹을하고있음을알수가있으며이러한악성코드의 기능은아래에서설명하겠습니다. 4.4 해당프로세스의악성코드여부확인 Economices.exe 에대한상세한분석을진행하는페이지입니다. 해당파일에대한 PE 구조를분석하고그에맞게분석을진행하였습니다. 그림 8. PEiD 의출력결과 위의그림과같이 PEiD 를통하여보았을때는별로알수있는유용한내용이없었으며추가적으로 PE 구조를더살펴본결과.rsrc 섹션에아래의그림과같이 PYTHON27.DLL 이라는문자열과 exe 의 MZ 헤더와 PE 시그니처등이존재하는것을확인할수가있으며, 이러한구조는주로 Python 으로된코드를 py2exe 를통하여컴파일했을경우주로나타나는구조임을알수가있습니다. 페이지 13 / 16

14 Forensic Analysis 그림 9. 해당파일의리소스섹션 이를통하여 Py2exe 된파일을다시코드로볼수있도록제작하는작업이필요하며 사용된도구는 [ 표 -2] 에기재된바와같이 2 개의 Python Code 를통하여진행하였습니다. 해당과정은아래와같습니다. 그림 10. Python Code 복구과정. 이러한과정을통하여복구된파이썬코드는 [ 별첨-7] 와같으며이를통해파이썬의기능에대하여알아보았습니다. 주요기능은아래와같습니다. Pyhook 을통해키로깅의기능을구현하였습니다. 의뢰인의지인이였던김 00 군 PC 의 IP 주소인 192.168.0.5 가나타나있습니다. 위두가지사실을종합해보았을때해당프로그램은키로깅의기능이있으며하나의 클라이언트로동작하는것을확인할수가있었습니다. 이를통해의뢰인 (192.168.0.3) 은 페이지 14 / 16

15 Forensic Analysis 김 00 군 (192.168.0.5) 에키이벤트를전송하므로개인정보유출의위험이많다는것을 알수가있습니다. 따라서의뢰자는키로깅기능이있는악성코드에침해당하였다고할수있으며, 이러한피의자로김 00 군이유력하다는것을알수있습니다. 5 대응방안 위의분석을토대로 2 차피해발생에대응하기위한방안은다음과같습니다. 실행중인악성코드의경우해당프로세스를종료하여추가적인피해를 방지해야합니다. 현재피해자의 PC 에악성코드가지속성을유지하고있기때문에해당 레지스트리의값을제거하여 2 차적인피해를방지합니다. 피의자가피해자의관계상해당프로세스를다시설치할수가있기에 피해자의 PC 에접근을하지못하게하는등제약이필요합니다. 페이지 15 / 16

16 Forensic Analysis 6 별첨목록 [ 별첨 ] 에서는위에서요약해서보여지거나자세한설명이필요한부분에대하여 추가적으로설명을하는페이지입니다. [ 별첨 -1 ] RegEx.log: REGA 를수집하는데있어해당해시값확인과시간대가기록된로그파일 [ 별첨 -2 ] dumpit_memory.jpg: DumpIt 을통한메모리수집을하는화면을조사자의휴대전화를이용해촬영 [ 별첨 -3 ] LogFile.csv : NTFS Log Tracker 를통해추출한 LogFile 에대해정리된파일 [ 별첨 -4 ] UsnJrnl.csv : NTFS Log Tracker 를통해추출한 UsnJrnl 에대해정리된파일 [ 별첨 -5 ] DriverFrameWorks-UserMode.evnt : USB 의연결시간과해제시간에대해서로깅된파일 [ 별첨 -6 ] netstat.jpg : 분석 PC 의증거를수집함에있어네트워크연결상태와해당하는 PID 를촬영 [ 별첨 -7 ] Remote_Client.py : 해당프로세스에서복구한파이썬코드 구현됨에있어 Economices.py 가아닌 Remote_Client.py 로구현하였기에해당이름으로복호화가되었습니다. [ 별첨 -8 ] Economices.exe : 해당악성코드의심프로그램입니다. 페이지 16 / 16

2024 © docsplayer.org 개인정보보호 | 약관 | 지원