Voltability Cridexの回答


SUA 2週目のB課題と3週目のA課題
Volatility Wikiページで提供されるCridex画像解析

1.基礎分析


1.1. OSの特定


imageinfoプラグインを使用すると、メモリダンプのオペレーティングシステムはWinXPSP2x86と推定されます.

1.2. プロセスの決定


pslist、psscan、pstree、psxviewの4つのプラグインが使用されています.

まずpstreeから見ると,reader_sl.exe以外の通常の流れには特別な事項はない.追加実行reader_sl.exeexplorer.exe程度は特筆に値する.

psscanとpsxviewを使用して、非表示のプロシージャがあるかどうかを確認しますが、存在しません.

->したがって,これまで疑わしい過程はreader_sl.exe(1640),explorer.exe(1484)であった.

1.3. ネットワークID


全部で4つのプラグイン、接続、connscan、sockets、sockscanが使用されています.

まず,2つのプラグイン,接続,connscanをブラウズすることで,以下に示すように2つの不審なIPを得ることができる.(接続結果は冗長であり、含まない)

2つのプラグイン(socketsおよびsockscan)を使用して次のソケットに関する情報を検索すると、疑わしいexplorer.exe(1484)がANY(0.0.0.0)にソケットを開く(またはソケットを開く)とマークされた痕跡が見つかります.

->したがって、explorer.exe(1484)プロセスと41.168.5.140:8080125.19.103.198:80802の疑わしいIP通信の痕跡が発見される.

1.4. コンソール命令トレース


合計3つのプラグイン、cmdline、cmdscan、consolesが使用されています.

まず、cmdlineの結果から、プロセスを実行する際のパラメータ値にはReader_sl.exeprocessの痕跡が見られるが、追加の情報はないことがわかる.

cmdscanとconsolesプラグインは結果を出力しませんでした.

2.プロセスの深い分析


前に、explorer.exe(1484)およびreader_sl.exe(1640)が疑わしいプロセスであることが認識された.
これらのプロセスを深く分析します.

2.1. プロセス実行ファイルの抽出


合計3つのプラグイン、prodump、filescan、dumpfilesが使用されています.
Procdumpプラグインを使用して、プロセスの実行可能ファイルを抽出します.

抽出された実行可能ファイルはすべてVirustotalによって悪意のあるファイルとして検出された(順序14841640).

filescanプラグインを使用して、プロセスの実行可能ファイルがディスクに保存されているかどうかを確認します.filescanコマンドを実行した後、notepad++を使用してプロセス名の結果を検索します.

dumpfilesプラグインを使用して、上にオフセットしたファイルを抽出します.

Virustotalにアップロードすると、これらのファイルは5つ未満のベンダーで悪意のあるコードとして検出されます.virustotalの詳細な分析結果を使用して、個別のディレクトリを使用して説明します.

2.2. 実行可能ファイルVirustotal検索結果


Virustotalreader_sl.exe実行可能ファイルを整理した分析結果は以下の通りです.
IP Traffic
  8.252.195.126:80 (TCP) 등등 -> 우리가 조사한 내용과 일치 X

Files Deleted & Files Dropped
  C:\ProgramData\Microsoft\Windows\WER\Temp\WER149C.tmp 
  C:\ProgramData\Microsoft\Windows\WER\Temp\WER1598.tmp.txt 등등 -> filescan에서 검색 불가능

Processes Tree
   2980 - %WINDIR%\explorer.exe
     3692 - %SAMPLEPATH%\AcroSpeedLaunch.exe -> reader_sl.exe의 또다른 이름임을 알 수 있다.
   624 - C:\Windows\System32\svchost.exe
     3492 - C:\Windows\System32\wuapihost.exe -> svchost.exe에서 wuapihost.exe로 이어지는 새로운 흐름 발견
virustotalの結果からsvchost.exe(1004)とwuapihost.exe(1588,1136)を再疑い,さらなる解析を行った.

virustotal検索結果svchost.exeは悪意のあるファイルではありませんが、2つのwuapihost.exeは悪意のあるファイルと疑われています.

まとめてみると、Virustotal検索結果から以下のような結果が得られます.
  • reader_sl.exeの別の名前はAcroSpeedLaunch.exe,
  • explorer.exereader_sl.exeは親子関係のプロセスです
  • wuapihost.exe(1588,1136)は、関連する流れと判断してもよい.
  • さらにインターネットで検索すると、any.runサイトでサンプル・ファイルと実行結果を見つけることができます.

    2.3. 実行可能ファイル文字列の解析


    抽出された実行可能ファイルから文字列データを抽出するためにstringsコマンドを使用します.
    exeファイルをstringとして抽出するデータ容量は大きくないため,個別のクエリがない場合に全体スキャンを行った.

    これらのすべてのファイルから実行可能なファイル文字列を取得しても、イベントに関連するデータは取得されません.

    2.4. 実行可能ファイルダンプ分析(14841240)


    memdumpプラグインを使用してメモリダンプを抽出し、stringを使用してメモリダンプ内部の文字列を抽出します.

    stringを使用した文字列ファイル(14841640はすべて)で、以前に発見されたキーワードを検索しました.
  • IPアドレス:41.168.5.140:8080,125.19.103.198:8080類似形式のURLが検索されたことを確認できます.
    /zb/v_01_a/in/のモードで再検索すると、PHPファイルを表示したり、htmlコードを表示したりすることができます.

    また、銀行リストから推定される文字列も発見される.
  • ->したがって、1484、1640の2つの悪意のあるコードは、銀行に関連する作業のように見え、銀行のディレクトリとC&Cサーバのディレクトリを抽出することができます.

    2.5. 実行可能ファイルダンプメモリ分析(11361588)


    memdumpプラグインを使用して、実行可能なファイルのメモリダンプを実行します.

    メモリダンプ内部から文字列を抽出するにはstringsコマンドを使用します.

    まず、2つの実行可能ファイルが悪意のあるファイルであるかどうかを判断するために検索が行われました.
    キーワード
  • KB00207877.exeなどを用いて検索した結果、以下のようになった.
  • さらに,
  • 41.168.5.140:8080URLへの要求の送信も見られる.
  • ->2つの実行可能ファイルに悪意のある動作がある可能性があります.
    その他の悪意のある行為の検索結果
  • Bank URL、C&Cサーバとの通信、HTMLコード.
  • WinSCP、PuTTYなどのファイル転送ツールは、具体的にどのように接続するかは確定できません.(怪しいがcrindexが浸透時に使用されたのか、他の悪性行為時に使用されたのかは不明)
  • 3.その他の追加分析


    3.1. printkeyプラグイン


    メモリダンプ解析で見つかったレジストリ(Software\Microsoft\Windows\CurrentVersion\Run)を抽出し、プロセスの自動実行に関連する痕跡を解析します.

    下図に示すように、KB00207877.exeファイルが自動実行登録されていることを確認できます.filescanの結果からファイルを抽出しvirustotalで検索します.

    以下に示すように悪意のあるプログラムであることがわかります.このほか、先ほど見た/zb/v_01_a/in/形式のURLに関するファイルも見ることができます.

    ->したがって、悪意のあるコードは、各コンピュータの再起動時にKB00207877.exeを実行し、悪意のある動作を継続します.

    3.2. userassistプラグイン


    アプリケーションの痕跡使用に関連するuserassistプラグインを使用して分析します.

    解析の結果、cridex1.exeというアプリケーションが暴露されていますが、アプリケーションに関する追加情報はありません.

    3.3. Handlesプラグイン


    プロセスが持つハンドルのリストを分析することで、どのプロセスとキーを持つかを分析します.
    handlesプラグインを用いて解析を行ったが,有意義な結果は得られなかった.

    3.4. 公開ソース情報(OSINT)分析結果


    解析で発見された/zb/v_01_a/in/cp.phpなどのキーワードに基づいて検索を行い,悪意コードの背景とグループ情報,および悪意行為の具体的な情報を特定することができる.
    https://eternal-todo.com/blog/sopelka-botnet-feodo-tatanga-citadel-panel
    この悪意コードは2012年5月から9月にかけて発見された悪意コードであり、Sopelka Botnetの一種である.私たちの目標はヨーロッパの機関、主にスペインとドイツの銀行、オランダ、イタリア、マルタの銀行証明書を収集することであり、以下の5つの変種の中で、私たちはFeodoを発見した.

    もしあなたの説明に不足や理解できないところがあれば、いつでも質問してください.
    より分析的な部分や分析の誤りを指摘することをいつでも歓迎します.)