공격자/희생자/분석자 실습

1. 메모리 분석

- 프로세스 학인

- 악성코드 추출

2. 이미징된 파일에서 윈도우 아티팩트 추출 분석

- 레지스트리 userassist

- 레지스트리 MRU

- 프리패치

- link

- $Logfile

  $usnjrnl

- 악성코드 파일 추출

=>

공격자 컴퓨터

windows 7 64bit

희생자 컴퓨터

windows 7 (8.5G) 64bit

분석자

FTK로 덤프할 목록

하이브 파일

DEFAULT

NTUSER_DAT(USER/WIN7)

SAM

SECURITY

SOFTWARE

SYSTEM

프리패치  

LINK 경로 : [root]\Users\Win7(username)\AppData\Roaming\Microsoft\Windows\Recent

- mac주소, 드라이브타입, TargetAccessTime, TargetWriteTime, DriveType 등 많은 정보가 들어있다.

사회공학적 기법으로 fake email을 보내서 희생자를 속였다.

다운받은 파일을 실행하면 공격자가 보낸 이미지파일이 열리지만 CyberGate로 만든 원격 제어모드가 된다.

포랜식 tools 

- REGA

고려대학교 포랜식 센터에서 포렌식 tool 중에 REGA를 다운받는다.

- UFTLnkParser

---------------------------------------------------

랜섬웨어 자동으로 실행시키기

윈도우 7에 파이썬 3이상 이 깔려있어야한다.

내컴퓨터에서 환경변수(시스템 변수 path) 설정

python 경로 복사 C:\Users\Win7\AppData\Local\Programs\Python\Python36\python.exe

시스템 환경변수 제일 뒤에 ;C:\Users\Win7\AppData\Local\Programs\Python\Python36\ 추가

파이썬으로 웹서버 열기(원하는 경로에서 코드를 실행하면 된다. 원하는 포트 설정)

>pythom -m http.server 8080

WinRAR-x64폴더에서 WinRAR.exe 파일을 실행하여 

보낼파일(속이는 파일)을 선택한다음

일반 탭에서 SFX 압축파일 생성을 체크하고

공격 코드에서 주소를 공격자컴퓨터의 주소로 복사한다.

고급 - 텍스트와 아이콘에 공격코드를 복사하여 넣는다.

다음 메일로 속이는 파일을 피해자가 실행을하면

공격자의 웹서버의 악성코드 파일이 자동으로 다운받고 실행이 된다.