본문 바로가기
포렌식

(KISA) 실습 1

by sonysame 2024. 4. 18. 
교육생자가실습. 시나리오#1 - 프로세스 이상징후 분석 {
	Q. 악성 프로세스로 의심되는 실행파일의 경로는 무엇입니까?
	A. C:\Windows\System32\svcnet.exe
	
	Q. 악성 프로세스라고 판단하시게 된 이유는 무엇입까?
	A. 퍼시스턴스에 위의 실행파일 등록되어 있었으며, 서명정보/버전정보등이 올바르게 담겨있지 않다.
	
	Q. 악성코드가 사용하는 퍼시스턴스는 무엇입니까? 정확히 서술해주세요
	A. 	KEY: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
		VALUE : Shellapi32
		DATA : C:\Windows\System32\svcnet.exe			
	Q. 위의 악성실행파일의 생성시간은 언제입니까?
	A. 2015.06.22 11:28:40
	
	Q. 위의 악성실행파일이 최초 실행된 시간은 언제입니까?
	A. 2015.06.22 11:28 40

}


교육생자가실습. 시나리오#2 - 프로세스 이상징후 분석 {
	Q. 악성 프로세스로 의심되는 실행파일의 경로는 무엇입니까?
	A. C:\Users\admin\AppData\Local\Temp\0.99815..exe

	Q. 악성 프로세스의 PID, PPID(부모 프로세스)는 무엇입니까?
	A. PID:2944, PPID:2828(Explorer.exe)
	
	Q. 위에서 발견된 프로세스를 의심하시는 이유? ("파일이름이 이상해서" X)
	A. 프로세스 명령라인의 경로 정보가 일반적이지 않음 (임시폴더를 상용하고 있음)
	
	Q. 악성코드가 사용하는 퍼시스턴스는 무엇입니까? 정확히 서술해주세요
	A. 

	Q. 위의 악성실행파일의 생성시간은 언제입니까?
	A. 

	Q. 위의 악성실행파일이 최초 실행된 시간은 언제입니까?
	A.
}


교육생자가실습. 시나리오#3 - 프로세스 이상징후 분석 {
	Q. 악성 프로세스로 의심되는 실행파일의 경로는 무엇입니까?
	A. C:\Windows\System32\calc.exe
	
	Q. 악성 프로세스의 PID, PPID(부모 프로세스)는 무엇입니까?
	A. PID:4084, PPID:4020(이름모름. 살아있지 않음)

	Q. 위에서 발견된 프로세스를 의심하시는 이유? ("파일이름이 이상해서" X)
	A. 프로세스 리니지가 이상함 (calc.exe 의 부모는 일반적으로 svchost.exe 혹은 explorer.exe 여야함)
	
	Q. 악성코드가 사용하는 퍼시스턴스는 무엇입니까? 정확히 서술해주세요
	A. C:\program files\nateon.exe

	Q. 위의 악성실행파일의 생성시간은 언제입니까?
	A. 
	
	Q. 위의 악성실행파일이 최초 실행된 시간은 언제입니까?
	A.
}


교육생자가실습. 시나리오#4 - 프로세스 이상징후 분석 {
	Q. 악성 프로세스로 의심되는 실행파일의 경로는 무엇입니까?
	A. C:\Users\Bob\AppData\Local\Temp\rad93398.tmp\UWkpjFjDzM.exe
	
	Q. 악성 프로세스의 부모 프로세스는 무엇입니까?
	A. wscript.exe (LOL Binary)
	
	Q. 위에서 발견된 프로세스를 의심하시는 이유? ("파일이름이 이상해서" X)
	A. 경로가 일반적이지 않습니다.

	Q. 네트워크 이상징후를 식별해 보세요. 어떤 프로세스가 이상징후를 보입니까?
	A. UWkpjFjDzM.exe, 10.0.0.106:4444 시스템과 통신중. (Local, Remote 둘다 임시포트 사용)

	Q. LOL Binary가 보이나요? 만약 그렇다면 LOL Binary가 사용하는 악성 스크립트의 경로는 어디입니까?
	A. C:\Users\Bob\AppData\Local\Temp\vhjReUDEuumrX.vbs
	
	Q. 피해 시스템이 통신하는 C2(Command and Control) 서버의 IP(도메인)은 무엇입니까?
	A. 10.0.0.106
	-------------------------------------------------------------------------------------------
	Explorer.exe
		HFS.exe
			Wscript.exe		// LOL Binary가 동작중이므로 이상징후.
				UWkpjFjDzM.exe <------------ TCP -------> 10.0.0.16:4444	
						// Local/Remote 포트가 임시포트임.
						// 실행되는 경로가 임시폴더임.								 
	-------------------------------------------------------------------------------------------
}
저작자표시

'포렌식' 카테고리의 다른 글

(KISA) 필기  (0) 2024.04.18
(KISA) 강의 1  (0) 2024.04.18

관련글

티스토리툴바