[Forensic] Phantom Operators - Right Time Write-Up

이번 문제부터 포렌식 문제에 제대로 접근하는 것 같다

이전 문제까지는 네트워크 트래픽을 분석하는 과정들만 존재했지만

만약 우리가 실진단을 할때 피싱 메일에 의한 악성코드 반입 혹은 내부 침투가 일어났을 경우

피싱 메일이나 악성코드등도 분석을 하겠지만 가장 먼저 살펴보는 것은 내부 침투가 어떻게 일어났는지에 대한 분석을 하기 위한 네트워크 트래픽을 살펴보는 것이다

그래서 문제의 의도를 네트워크 트래픽을 먼저 살펴보고 그 이후부터 포렌식을 하는 문제의 순서로 나열한것같다

 

문제를 먼저 살펴보자

 

특정 raw 파일이 주어지고 해당 파일을 메모리 덤프를 해서 시스템에 피싱 공격이 언제 이루어졌는지 찾는 문제이다

 

보통 포렌식 분야에서 메모리 덤프용 여러 툴들을 사용하고 있지만 나는 volatility를 활용해서 분석을 해보려고 한다

volatility는 여러 플러그인을 사용해서 시스템 정보를 추출하고 그리고 해당 raw 파일과 같은 파일들이 언제 쓰였는지, 어떻게 쓰였지 분석하는 용도로 많이 사용된다

 

volatility 툴이 무엇인지 먼저 사용해 보고 메모리 포렌식을 진행해 보자

 

• Volatility..?

volatility 툴은 메모리 포렌식을 할 때 메모리 덤프 파일을 분석할 때, 가장 많이 사용되고 있는 도구다

오픈 소스 기반으로 CLI 인터페이스를 제공하는 메모리 분석 도구로

PC(or laptop)에서 덤프 된 파일을 분석하는 용도로 자주 사용되고 프로세스 정보와 네트워크 정보 등을 확인할 수 있다

프로세스 덤프 기능도 제공하기 때문에 기존에 PC나 노트북에 실행되고 있었던 프로세스 내용도 확인이 가능하다

 

해당 툴은 Windows 환경에서도 사용이 가능하며 사이트는 아래 내용을 참고하면 된다

https://www.volatilityfoundation.org/

The Volatility Foundation - Promoting Accessible Memory Analysis Tools Within the Memory Forensics Community

 

• Volatility Plugin

Volatility는 여러 플러그인들을 활용해서 분석을 도와주는데 플러그인들을 간단히 정리해 보자면 아래와 같다

- pstree : 프로세스를 트리 구조로 출력

- pslist : 프로세스 리스트 출력, 리스트 워킹 (가상 주소)

- psscan : 프로세스 리스트 출력, 패턴 매칭용 (물리적 주소)

- psxview : 프로세스 은닉 탐지용 / 다양한 방식으로 프로세스 조회

- procdump : 프로세스 실행파일 추출

- memdump : 프로세스가 사용한 전체 메모리영역 덤프

- filescan : 메모리상의 파일 오브젝트 전체 검색

- hivelist : 메모리상의 파일

- cmdscan : cmd에서 실행한 명령어 확인

- cmdline : cmd에서 실행한 명령어 이력 확인

- netscan : 네트워크 연결 확인

 

이밖에도 여러 플러그인 기능이 있지만 타 플러그인에 대한 설명은 아래 주소를 참고하면 좋을 것 같다

https://github.com/volatilityfoundation/volatility/wiki/Command-Reference

Command Reference

 

자 이제 문제로 들어가 보자

 

volatility 툴을 활용해서 physmem.raw의 시스템 정보를 분석해 본 사진이다

해당 physmem.raw 파일은 '2024-10-06 23:38:00'에 사용된 파일이며 Kernel Base의 주소는 0xf80375800000이다

조금 더 상세히 들여다볼 수 있겠지만 우리는 flag를 찾기 위해서는 SystemTime만 조회를 해오면 된다

그러므로 flag는 '2024-10-06 23:38:00+00:00' 이다

flag{2024-10-06 23:38:00+00:00}