[N0Named] infect 풀이 (수정)

질문 : 악성코드에 감염된 PC인데, 악성프로그램을 찾아내라 !!!!!

🚨

 

---

 

다운 받았더니 AD1파일 등장 -> AD1을 지원하는 FTK로 분석해봅시다.

 

 

 

Window PC 등장

 

 

 

악성 프로그램을 실행시켰으니 감염이 되었을 것이다.

그렇다면 prefetch가 남아 있을 것

windows에 있는 Prefetch 파일은 export해서 WinPrefetchView에서 관찰해보자

 

 

 

음.. 오지게 많다. prefetch로 당장 할 수 있는 것은 없다. 다시 back

>> prefetch로 확인 할 것이 있을 때만 보기로 결심

 

 

Users에서 타고 내려가보면 대충 Vbox를 설치했음을 알 수 있음

Desktop 바탕화면에 VboxTester 실행파일 존재

 

 

 

그리고 AppData 폴더 속에 Chrome 방문기록, 다운로드 기록 볼 수 있으니까 살펴보자

History 파일 발견했으니 추출하고 살펴봅시다.

 

 

들어간 url 찾아보니 대충 감 온다

짜식이 VMware 크랙버전 다운 받고 났더니 랜섬웨어에 걸린 듯

고로 아까 봐놨던 VBOX 실행파일이 문제가 있는 듯 하다

 

실행 시간이랑 파일명 획득 했으니 key ㄱㄱ

 

 

정답 !

 

---

 

< 추가로 알게 된 것 >

- FTK 에서 VboxTester.exe 의 Date Modified(생성, 수정, 접근 시간 포함)은 실행 시각이 아니라 

해당 파일의 이동, 파일명 변경 등의 시각이다.

실행 프로그램의 실행 시각이 아님 !!!

 

 

- 악성코드 흔적은 pf 참조 목록에 존재한다. 그러나, 확장자를 보고 유추하거나 직접 뜯어봐야 확인 가능하다.

 

---

 

< 피드백 >
- FTK Imager로 봤을 때 전체 파티션이 아닌, 출제자가 선택한 파일만 있음(Partition2)

=> 정보 수집에 제한적일 수 있다.

 

 

- Desktop에 data2.encrypted 파일 존재함

=> 악성프로그램에 의해 생성 혹은 기존 파일이 암호화된 것을 볼 수 있다.

생성시간도 보면 key값과 일치하는 시간이다. (utc+9)

 

 

 

- prefetch 시간 순으로 놓으면 data2.encryted 생성 시간인 오후 2:14:09에 해당하는 파일 2개 존재

 

 

 

- 아래 그림은 윈도우 디펜더 탐지 알람창이다.

악성코드가 포함된 파일등을 다운받으면 뜨는 알림창이다.

실제 악성코드를 판단하기 위해서는 정밀 분석이 필요하지만 이를 대신하여 백신 프로그램으로 악성코드 발견

 

 

- FTK Imager 에서는 UTC 시간으로 나오는 듯 !

따라서 KST 시간으로 하기 위해서는 UTC+9시간 해주면 된다.

 

 

 

 

 

 

 

 

 

 

 

<악성코드 확장자 출처>

somenotes247.blogspot.com/2017/12/blog-post_13.html