디지털 포렌식 w1, w2

디지털 포렌식

컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야

• 침해사고대응
  • 실시간
  • 사태파악 및 수습
  • 엄격한 입증 필요 X
• 증거추출
  • 사후조사
  • 범죄 증거 수집
  • 엄격한 입증 필요 O
• 디지털 포렌식의 대상
  • 디스크 포렌식 → 컴퓨터 디스크(윈도우, 리눅스)
  • 메모리 포렌식 → 컴퓨터 메모리(RAM)
  • 네트워크 포렌식 → 네트워크 패킷, 네트워크 장비 로그, 네트워크 관련 설정들
  • 모바일 포렌식 → 모바일 디바이스(저장소, 메모리)/IoT 디바이스
  • 기타 → 데이터베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식

디스크 마운트, 메모리 덤프

• 디스크 마운트디스크에 저장된 데이터를 읽어내어 분석하기 위함
• 물리적 저장장치을 시스템에 연결하여 데이터를 접근하는 과정
• 메모리 덤프휘발성 데이터를 추출하여 분석하고 실시간 프로세스, 네트워크 상태, 암호화 키, 악성코드 등을 추적
  • 삭제된 파일 우클릭 → export files
  • [root] → [recyclebin]: 휴지통 파일 경로
• RAM에 저장된 데이터를 그대로 복사하는 작업

Volatility를 활용한 Cridex 분석

• Volatility 개요
  • pslist: 실행 중인 프로세스 목록 조회
  • netscan: 네트워크 연결 상태 확인
  • dlllist: 로드된 DLL 확인
  • malfind: 메모리 내 악성코드 주입 여부 탐지
• 메모리 덤프를 분석하는 오픈 소스 도구로, 실행 중인 프로세스, 네트워크 연결, 악성코드 흔적 등을 탐지하는 데 사용됨.
• Cridex 악성코드
  • 웹 인젝션을 이용한 금융 정보 탈취
  • 자기 복제를 통한 네트워크 확산
  • 감염된 시스템을 이용한 악성 행위 수행
• Cridex는 금융 정보를 탈취하는 은행 트로이 목마로, 감염된 시스템을 봇넷으로 전환해 원격 제어가 가능함.

Volatility를 이용한 Cridex 분석 절차

1. 메모리 덤프 확보: FTK Imager 등으로 RAM 덤프 생성
2. Volatility 분석
   • pslist를 사용해 Cridex 관련 프로세스 탐색
   • netscan으로 의심스러운 네트워크 연결 확인
   • dlllist를 통해 악성 DLL 주입 여부 확인
   • malfind로 메모리 내 악성코드 탐지
3. Cridex 활동 추적
   • 브라우저 프로세스에서 인젝션 여부 확인
   • 악성 네트워크 연결과 관련된 추가 정보 분석