Information Security

문제저희 회사 고객 중 한 명이 알 수 없는 오류로 인해 시스템 접근 권한을 잃었습니다. 그는 매우 유명한 "환경" 운동가로 알려져 있습니다. 조사 과정에서 그는 브라우저, 비밀번호 관리자 등을 주로 사용한다고 밝혔습니다. 이 메모리 덤프를 분석하여 그의 중요한 정보를 찾아 저희에게 보내주시면 감사하겠습니다. imageinfo 플러그인을 통해 메모리 이미지의 운영체제를 확인하였습니다.python vol.py -f MemoryDump_Lab2.raw imageinfo pslist 플러그인을 통해 프로세스 목록을 확인해 보면 Chrome.exe, KeePass.exe 프로세스들이 동작하는 것을 알 수 있습니다.python vol.py -f MemoryDump_Lab2.raw --profile Win7SP1..

문제 설명여동생의 컴퓨터가 고장 났어요. 다행히 이 메모리 덤프를 복구할 수 있었죠. 언니의 중요한 파일을 시스템에서 모두 가져오는 게 당신의 임무예요. 기억하기로는 갑자기 뭔가가 실행되고 있는 검은색 창이 떴어요. 컴퓨터가 고장 났을 때, 여동생은 뭔가를 그리려고 하고 있었어요. 그게 고장 당시에 대한 기억의 전부예요. imageinfo 플러그인을 이용하여 가장 먼저 운영 체제를 식별을 하였습니다.python vol.py -f MemoryDump_Lab1.raw imageinfo pslist 플러그인을 사용하여 프로세스를 확인했습니다. cmd.exe, mspaint.exe, WinRAR.exe 프로세스가 수상한 것을 알 수 있습니다.python vol.py -f MemoryDump_Lab1.raw -..

시스템의 로그 파일$MFT디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능[ROOT]\$MFT$LogFile파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요[ROOT]\$LogFile$UsnJrnl파일에 발생한 변경 이력을 추적특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)[ROOT]\$Extend\$UsnJrnl 첫 번째로 [root]\$LogFile 파일을 추출했다. 두 번째로 [root]\$MFT 파..

볼라틸리티 플러그인 windows.psscan를 이용하여 살아있는 프로세스를 확인하려고 했다. 수집한 psscan에서 explor3r.exe 수상한 프로세스를 확인할 수 있습니다. windows.filescan 플러그인 결과에서 explor3r.exe.img 파일을 추출하였다. strings를 이용하여 해당 파일의 문자열 추출하였다. 문자열을 보면, 바탕화면에 있는 .pdf 파일을 찾아 삭제하는 것을 알 수 있다. 해당 악성 프로세스가 종료된 시간이 UTC 시간이므로 한국 시간으로 변경 후 입력하여 UNIX Timestamp 확인하였다. HashCalc 도구를 이용하여 MD5 해시 값을 확인하였다.

볼라틸리티3 도구를 이용하여 filescan 옵션을 통해 로그를 확인 filescan.log를 열어서 .zip 확장자를 찾음 첫 번째 주소 0xe70bd0a9f1c0 덤프파일을 추출했다. 파일을 확인해보면 gmail에서 첨부파일을 다운로드된 것을 알 수 있다. 두 번째 주소 0xe70bd3530b30 덤프파일을 추출했다. 파일이 손상되었다고 압축풀기가 되지 않는 것을 알 수 있다. HxD 프로그램을 이용하여 report3.pdf 부분을 보면 89 50 4E 47 이미지 파일 헤더 값을 확인할 수 있다. 89 50 4E 47 ~ AE 42 60 82 PNG 값을 복사하여 새로 생성하였다. 이미지 파일을 열어보면 시간,날짜, 장소까지 알 수 있다.

HxD 프로그램을 이용하여 문제 파일을 열어보면 문제에서 ZIP파일이라는 것을 알 수 있다. ZIP 파일의 헤더인 50 4B 03 04 를 찾아보면 1009개의 검색되는 것을 알 수 있다. ZIP Local File Header 구조 정리표 Signature (시그니처)항상 \x50\x4b\x03\x04 값이다.Version needed to extract (압축 해제 필요 버전)이 파일을 압축 해제하기 위해 필요한 최소 PKZip 버전Flags (일반 목적 비트 플래그)Bit 00: 파일 암호화Bit 01: 압축 옵션Bit 02: 압축 옵션Bit 03: 데이터 설명자 존재 여부(Data Descriptor 사용)Bit 04: 향상된 디플레이트Bit 05: 패치된 데이터Bit 06: 강력한 암호화Bit..

파일 실행 흔적을 찾기 위해 C:\Windows\Prefetch\ 경로로 이동하여 Prefetch 파일 전부를 추출한다. Windows **Prefetch(프리패치)**는 프로그램 실행 속도를 향상시키기 위해 윈도우가 자동으로 생성하는 캐싱 메커니즘 및 포렌식 아티팩트입니다. Windows가 프로그램을 더 빠르게 실행하기 위해 해당 프로그램이 로딩 시 사용하는 파일·DLL 정보를 기록해 두는 기능프로그램이 실행될 때마다 .pf 파일이 생성·업데이트됨기본 저장 위치:C:\Windows\Prefetch\파일 확장자.pf파일명프로그램명-해시.pf 형태 예: NOTEPAD.EXE-12345678.pf저장 시점프로그램이 최초 실행될 때업데이트실행할 때마다 Last Run Time과 Run Count가 갱신삭제사용..

Chrome 브라우저 아티팩트 위치는 %UserProfile%\AppData\Local\Google\Chrome\User Data\Default 경로로 이동하면 Histroy 파일이 존재한다. DB Browser 프로그램을 이용하여 History 내용을 보면 Dtatfalonso-Android-L-Chrome 파일 이름과 Start_time 값을 알 수 있다. https://www.epochconverter.com/webkit 해당 사이트로 이동하여 start_time 값을 입력하면 Unix time을 알 수 있다. 옆으로 이동하면 mime_type 값이 image/x-icon이라는 것을 알 수 있다.