Voltability Cridexの回答
SUA 2週目のB課題と3週目のA課題
Volatility Wikiページで提供されるCridex画像解析
1.基礎分析
さらにインターネットで検索すると、
抽出された実行可能ファイルから文字列データを抽出するためにstringsコマンドを使用します.
exeファイルをstringとして抽出するデータ容量は大きくないため,個別のクエリがない場合に全体スキャンを行った.
これらのすべてのファイルから実行可能なファイル文字列を取得しても、イベントに関連するデータは取得されません.
memdumpプラグインを使用してメモリダンプを抽出し、stringを使用してメモリダンプ内部の文字列を抽出します.
stringを使用した文字列ファイル(14841640はすべて)で、以前に発見されたキーワードを検索しました.IPアドレス:
また、銀行リストから推定される文字列も発見される.
->したがって、1484、1640の2つの悪意のあるコードは、銀行に関連する作業のように見え、銀行のディレクトリとC&Cサーバのディレクトリを抽出することができます.
memdumpプラグインを使用して、実行可能なファイルのメモリダンプを実行します.
メモリダンプ内部から文字列を抽出するにはstringsコマンドを使用します.
まず、2つの実行可能ファイルが悪意のあるファイルであるかどうかを判断するために検索が行われました.
キーワード
さらに,
->2つの実行可能ファイルに悪意のある動作がある可能性があります.
その他の悪意のある行為の検索結果Bank URL、C&Cサーバとの通信、HTMLコード.
WinSCP、PuTTYなどのファイル転送ツールは、具体的にどのように接続するかは確定できません.(怪しいがcrindexが浸透時に使用されたのか、他の悪性行為時に使用されたのかは不明)
3.その他の追加分析
Volatility Wikiページで提供されるCridex画像解析
1.基礎分析
1.1. OSの特定
imageinfoプラグインを使用すると、メモリダンプのオペレーティングシステムはWinXPSP2x86
と推定されます.
1.2. プロセスの決定
pslist、psscan、pstree、psxviewの4つのプラグインが使用されています.
まずpstreeから見ると,reader_sl.exe
以外の通常の流れには特別な事項はない.追加実行reader_sl.exe
のexplorer.exe
程度は特筆に値する.
psscanとpsxviewを使用して、非表示のプロシージャがあるかどうかを確認しますが、存在しません.
->したがって,これまで疑わしい過程はreader_sl.exe
(1640),explorer.exe
(1484)であった.
1.3. ネットワークID
全部で4つのプラグイン、接続、connscan、sockets、sockscanが使用されています.
まず,2つのプラグイン,接続,connscanをブラウズすることで,以下に示すように2つの不審なIPを得ることができる.(接続結果は冗長であり、含まない)
2つのプラグイン(socketsおよびsockscan)を使用して次のソケットに関する情報を検索すると、疑わしいexplorer.exe
(1484)がANY(0.0.0.0)にソケットを開く(またはソケットを開く)とマークされた痕跡が見つかります.
->したがって、explorer.exe
(1484)プロセスと41.168.5.140:8080
、125.19.103.198:8080
2の疑わしいIP通信の痕跡が発見される.
1.4. コンソール命令トレース
合計3つのプラグイン、cmdline、cmdscan、consolesが使用されています.
まず、cmdlineの結果から、プロセスを実行する際のパラメータ値にはReader_sl.exe
processの痕跡が見られるが、追加の情報はないことがわかる.
cmdscanとconsolesプラグインは結果を出力しませんでした.
2.プロセスの深い分析
前に、explorer.exe
(1484)およびreader_sl.exe
(1640)が疑わしいプロセスであることが認識された.
これらのプロセスを深く分析します.
2.1. プロセス実行ファイルの抽出
合計3つのプラグイン、prodump、filescan、dumpfilesが使用されています.
Procdumpプラグインを使用して、プロセスの実行可能ファイルを抽出します.
抽出された実行可能ファイルはすべてVirustotalによって悪意のあるファイルとして検出された(順序14841640).
filescanプラグインを使用して、プロセスの実行可能ファイルがディスクに保存されているかどうかを確認します.filescanコマンドを実行した後、notepad++を使用してプロセス名の結果を検索します.
dumpfilesプラグインを使用して、上にオフセットしたファイルを抽出します.
Virustotalにアップロードすると、これらのファイルは5つ未満のベンダーで悪意のあるコードとして検出されます.virustotalの詳細な分析結果を使用して、個別のディレクトリを使用して説明します.
2.2. 実行可能ファイルVirustotal検索結果
Virustotalreader_sl.exe
実行可能ファイルを整理した分析結果は以下の通りです.IP Traffic
8.252.195.126:80 (TCP) 등등 -> 우리가 조사한 내용과 일치 X
Files Deleted & Files Dropped
C:\ProgramData\Microsoft\Windows\WER\Temp\WER149C.tmp
C:\ProgramData\Microsoft\Windows\WER\Temp\WER1598.tmp.txt 등등 -> filescan에서 검색 불가능
Processes Tree
2980 - %WINDIR%\explorer.exe
3692 - %SAMPLEPATH%\AcroSpeedLaunch.exe -> reader_sl.exe의 또다른 이름임을 알 수 있다.
624 - C:\Windows\System32\svchost.exe
3492 - C:\Windows\System32\wuapihost.exe -> svchost.exe에서 wuapihost.exe로 이어지는 새로운 흐름 발견
virustotalの結果からsvchost.exe
(1004)とwuapihost.exe
(1588,1136)を再疑い,さらなる解析を行った.
virustotal検索結果svchost.exe
は悪意のあるファイルではありませんが、2つのwuapihost.exe
は悪意のあるファイルと疑われています.
まとめてみると、Virustotal検索結果から以下のような結果が得られます.
前に、
explorer.exe
(1484)およびreader_sl.exe
(1640)が疑わしいプロセスであることが認識された.これらのプロセスを深く分析します.
2.1. プロセス実行ファイルの抽出
合計3つのプラグイン、prodump、filescan、dumpfilesが使用されています.
Procdumpプラグインを使用して、プロセスの実行可能ファイルを抽出します.
抽出された実行可能ファイルはすべてVirustotalによって悪意のあるファイルとして検出された(順序14841640).
filescanプラグインを使用して、プロセスの実行可能ファイルがディスクに保存されているかどうかを確認します.filescanコマンドを実行した後、notepad++を使用してプロセス名の結果を検索します.
dumpfilesプラグインを使用して、上にオフセットしたファイルを抽出します.
Virustotalにアップロードすると、これらのファイルは5つ未満のベンダーで悪意のあるコードとして検出されます.virustotalの詳細な分析結果を使用して、個別のディレクトリを使用して説明します.
2.2. 実行可能ファイルVirustotal検索結果
Virustotal
reader_sl.exe
実行可能ファイルを整理した分析結果は以下の通りです.IP Traffic
8.252.195.126:80 (TCP) 등등 -> 우리가 조사한 내용과 일치 X
Files Deleted & Files Dropped
C:\ProgramData\Microsoft\Windows\WER\Temp\WER149C.tmp
C:\ProgramData\Microsoft\Windows\WER\Temp\WER1598.tmp.txt 등등 -> filescan에서 검색 불가능
Processes Tree
2980 - %WINDIR%\explorer.exe
3692 - %SAMPLEPATH%\AcroSpeedLaunch.exe -> reader_sl.exe의 또다른 이름임을 알 수 있다.
624 - C:\Windows\System32\svchost.exe
3492 - C:\Windows\System32\wuapihost.exe -> svchost.exe에서 wuapihost.exe로 이어지는 새로운 흐름 발견
virustotalの結果からsvchost.exe
(1004)とwuapihost.exe
(1588,1136)を再疑い,さらなる解析を行った.virustotal検索結果
svchost.exe
は悪意のあるファイルではありませんが、2つのwuapihost.exe
は悪意のあるファイルと疑われています.まとめてみると、Virustotal検索結果から以下のような結果が得られます.
reader_sl.exe
の別の名前はAcroSpeedLaunch.exe
,explorer.exe
とreader_sl.exe
は親子関係のプロセスですwuapihost.exe
(1588,1136)は、関連する流れと判断してもよい.any.run
サイトでサンプル・ファイルと実行結果を見つけることができます.2.3. 実行可能ファイル文字列の解析
抽出された実行可能ファイルから文字列データを抽出するためにstringsコマンドを使用します.
exeファイルをstringとして抽出するデータ容量は大きくないため,個別のクエリがない場合に全体スキャンを行った.
これらのすべてのファイルから実行可能なファイル文字列を取得しても、イベントに関連するデータは取得されません.
2.4. 実行可能ファイルダンプ分析(14841240)
memdumpプラグインを使用してメモリダンプを抽出し、stringを使用してメモリダンプ内部の文字列を抽出します.
stringを使用した文字列ファイル(14841640はすべて)で、以前に発見されたキーワードを検索しました.
41.168.5.140:8080
,125.19.103.198:8080
類似形式のURLが検索されたことを確認できます./zb/v_01_a/in/
のモードで再検索すると、PHPファイルを表示したり、htmlコードを表示したりすることができます. また、銀行リストから推定される文字列も発見される.
2.5. 実行可能ファイルダンプメモリ分析(11361588)
memdumpプラグインを使用して、実行可能なファイルのメモリダンプを実行します.
メモリダンプ内部から文字列を抽出するにはstringsコマンドを使用します.
まず、2つの実行可能ファイルが悪意のあるファイルであるかどうかを判断するために検索が行われました.
キーワード
KB00207877.exe
などを用いて検索した結果、以下のようになった.41.168.5.140:8080
URLへの要求の送信も見られる.その他の悪意のある行為の検索結果
3.その他の追加分析
3.1. printkeyプラグイン
メモリダンプ解析で見つかったレジストリ(Software\Microsoft\Windows\CurrentVersion\Run
)を抽出し、プロセスの自動実行に関連する痕跡を解析します.
下図に示すように、KB00207877.exe
ファイルが自動実行登録されていることを確認できます.filescanの結果からファイルを抽出しvirustotalで検索します.
以下に示すように悪意のあるプログラムであることがわかります.このほか、先ほど見た/zb/v_01_a/in/
形式のURLに関するファイルも見ることができます.
->したがって、悪意のあるコードは、各コンピュータの再起動時にKB00207877.exe
を実行し、悪意のある動作を継続します.
3.2. userassistプラグイン
アプリケーションの痕跡使用に関連するuserassistプラグインを使用して分析します.
解析の結果、cridex1.exe
というアプリケーションが暴露されていますが、アプリケーションに関する追加情報はありません.
3.3. Handlesプラグイン
プロセスが持つハンドルのリストを分析することで、どのプロセスとキーを持つかを分析します.
handlesプラグインを用いて解析を行ったが,有意義な結果は得られなかった.
3.4. 公開ソース情報(OSINT)分析結果
解析で発見された/zb/v_01_a/in/cp.php
などのキーワードに基づいて検索を行い,悪意コードの背景とグループ情報,および悪意行為の具体的な情報を特定することができる.
https://eternal-todo.com/blog/sopelka-botnet-feodo-tatanga-citadel-panel
この悪意コードは2012年5月から9月にかけて発見された悪意コードであり、Sopelka Botnet
の一種である.私たちの目標はヨーロッパの機関、主にスペインとドイツの銀行、オランダ、イタリア、マルタの銀行証明書を収集することであり、以下の5つの変種の中で、私たちはFeodo
を発見した.
もしあなたの説明に不足や理解できないところがあれば、いつでも質問してください.
より分析的な部分や分析の誤りを指摘することをいつでも歓迎します.)
Reference
この問題について(Voltability Cridexの回答), 我々は、より多くの情報をここで見つけました
https://velog.io/@hunjison/Volatility-Cridex-문제풀이
テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol
Reference
この問題について(Voltability Cridexの回答), 我々は、より多くの情報をここで見つけました https://velog.io/@hunjison/Volatility-Cridex-문제풀이テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol