Volatility를 통해 Gitstatck 메모리 포렌식 분석

Volatility를 이용해 gistack imaginfo를 확인했다. 

그림 1-1 imageinfo

gistakc pslist 파일을 저장했다.

그림 1-2 pslist

프로세스들이 동시에 비슷한 시간에 빠르게 실행되고 죽은 것을 확인할 수 있다. mimikatz.exe는 윈도우 계정 정보가 평문으로 저장된 것을 가져오는 프로그램이다. (문서형 악성코드)  

그림 1-3 mimikatz.exe

웹 서버 프로세스가 실행되고 있는 것을 알 수 있다.

그림 1-4 httpd

pstree 구조를 확인하기 위한 명령어다.

그림 1-5 pstree

웹 서비스에 cmd.exe가 실행되는 것을 알 수 있다. 어떤 것에 의해서 시스템 명령어(RCE)가 실행되고 있는 것을 알 수 있다.

그림 1-6 cmd.exe

powershell을 통해 명령어를 실행 해 계정 정보를 획득하는 것을 알 수 있다.

그림 1-7 powershell

sysmon.exe 통합적인 로그 프로세스가 동작하는 것을 알 수 있다.

그림 1-8 sysmon.exe

filescan를 확인하는 명령어다.

그림 1-9 filescan

GitStack 폴더에 수상한 exploit.php 파일을 찾을 수 있었다.

그림 1-10 exploit.php

powershell과 관련된 이벤트 파일(.evtx)을 확인할 수 있다.

그림 1-11 powershell 이벤트

sysmon폴더 밑에 이벤트 폴더가 있는 것을 알 수 있다.

그림 1-12 sysmon 이벤트

exploit.php 덤프 파일을 현재 디렉터리에 저장하는 명령어다.

그림 1-13 exploit 덤프

덤프 파일을 보면 WebShell 파일이라는 것을 알 수 있다.

그림 1-14 WebShell

PowerShell과 관련된 이벤트 파일을 덤프로 저장하는 명령어다.

그림 1-15 power shell 덤프

powershell 이벤트를 보면 이상한점을 발견할 수가 없었다.

그림 1-16 PowerShell 이벤트

sysmon 프로세스를 덤프파일로 저장했다.

그림 1-17 sysmon 덤프

cmd.exe에서 gitphp파일이 실행되는 것을 알 수 있다.

그림 1-18 gitphp 파일

powershell이 보이고 temp 파일을 확인할 수 있다.

그림 1-19 temp 파일

powershell의 공격코드가 남아 있는 것을 알 수 있다. 

그림 1-20 공격코드

cmd.exe에서 git.exe 실행하고 있는 것을 알 수 있다.

그림 1-21 git.exe

git.php 공간에서 c "dir"이 실행되고 있는 것을 알 수 있다.

그림 1-22 dir 명령어

git 공간에서 ipconfig 명령어가 실행한 것을 알 수 있다.

그림 1-23 ipconfig 명령어

openssl을 passwd를 입력해 실행하고 cmd를 이용해 powershell을 실행시키는 것을 알 수 있다. 

그림 1-24 공격 명령어

exploit.php를 통해서 실행되는 것을 알 수 있다.

그림 1-25 공격 코드