실제 평창 올림픽에서 발생했던 올림픽 디스트로이어를 분석해보는 시간을 가졌다.
파워쉘을 통해 log를 생성한다.
OlympicDestory가 3528인데 3528이 낳은 것들을 확인해보자 수상하니까.
이제 악성 코드들이 컴퓨터에 들어온 다음에 이제 본인 파일을 이제 작업 스케줄러에 등록을 해놓고 지속적으로 이제 컴퓨터에서 실행이 되기 위해서 그런 경우들이 있거든요 -- 작업 스케쥴러 이기 때문에 수상하다
이제 pslist 로 가보자
수상해보이는게 실행된 다음 powershell이 실행된거니 문서악성코드가 파워쉘을 실행시켰다라고 볼 수 있다.
시간차 발생후 1초간격으로 아래것들이 실행된 것을 확인할 수 있다. 이 넷은 연관이 있다.
psscan에 뭐가 없다는 것은 숨김프로세스가 없다는 의미다.
psscan에 뭐가 있어야 psxview를 할 수 있는데 psscan에 아무것도 없으므로 얘도 확인하지 않겠다.
conhost가 powershell 실행한 것을 확인할 수 있다. psslist를 통해 누구를 통해 실행되었는지를 확인한다.
DAT : 데이터섹션오브젝트
IMG : 이미지섹션오브젝트
수상해보이는 파일들을 덤프해서 확인해보자. 의심되는 파일들을 추출했으면 바이러스토탈을 통해 악성코드인지 확인해볼 수 있다.
단서
첨부파일 V10"Oylmpic_section_v10"
imageinfo
pslist
psscan
pstree
psxview
cmdline
cmdscan
consoles
netscan
dumpfiles
procdump
memdump
---192.168.111.130-로컬 ip 192.168.111.128 - 원격 ip
증거: C:\Windows\System32\OlympicDestroyer3.exe---0x000000007fc8b888 C:\Users\VM\AppData\Local\Temp\_xut.exe ---0x000000007f891570 virustotal strings
'swuforce' 카테고리의 다른 글
| [써니나타스] 포렌식 19번 write up (0) | 2024.11.26 |
|---|---|
| [PLAINBIT]Alphapo/CoinsPaid Hot Wallet Hack (0) | 2024.11.23 |
| [써니타스] 18번 문제풀이 (0) | 2024.11.19 |
| [H4CKING GAME] code (0) | 2024.11.18 |
| [theori] AI 보안이란? 사이버 보안의 새로운 무기가 된 인공지능 (5) | 2024.11.17 |