본문 바로가기
보안/포렌식

APT 분석방법 - 디스크 및 패킷 분석

모아이모아이 2016. 6. 8. 23:31

1. 패킷분석(와이어샤크)


0) 시간 설정


edit-> TIme Shift 에서 +9:00:00 을 해준다.


view -> Time Display Format -> UTC Date and Time of Day



1) 악성코드 유포지를 통해 역으로 분석


 http.request.full_uri contains “유포지 전체링크”


봐야할 것 :


 - Referer : 현재 페이지를 접속하기 전의 주소

 - Host : 악성코드와 관련 있는 주소를 찾기위해 필요

 - Full request URI : 유포지 주소

 - Response 패킷번호 : 다운로드 받은 바이너리를 추출할 수 있음



2) 유포지의 Host 정보를 이용해 경유 사이트 확인


  http.request.full_uri contains “http://sitename.co.kr/”


기록해 놓을 것 :


 - 패킷을 주고받은 시간

 - 요청패킷번호

 - 응답패킷번호

 - URI



3) 취약점 확인(다운로드 받은 파일 추출)


  frame.number==패킷번호 또는 tcp.dstport==포트번호


왜인지는 모르겠으나 한 세션당 포트번호가 계속 바뀌게 된다.(같은 세션은 포트번호가 같다)


Hypertext Transfer Protocol 영역에서 다운받은 파일을 컴퓨터에 저장하자.

(해쉬값 또는 파일크기로 향후 이미지 분석시 해당파일을 찾자)


다운받는 방법 : 패킷의 맨 마지막에 다운로드받은 파일이 존재한다. 

                    마우스 우클릭 ->Export packet Bytes를 클릭


3-1) 만약 플래시 파일만 찾고 싶으면?


 http.content_type contains "application/x-shockwave-flash"


이 필터를 통해 요청 패킷으로부터 플래시버전을 확인할 수 있다.



3-2) 플래시를 디컴파일 하고 싶으면?


구글에 SWF investigator를 검색한 뒤 다운받자



3-3) 브라우저 정보를 알고 싶으면?


 http://www.useragentstring.com/


HTTP헤더의 User-Agent를 위의 사이트에 검색하면 사용하고 있는 브라우저의 정보를 알 수 있다.



3-4) 바이러스 토탈정보를 적극 활용하자


WinMD5 툴을 이용해 Hash값을 확인하고 바이러스 토탈에 질의를 던져보자



2. 아티팩트 분석



1) 인터넷 행위 분석


WebCacheV01 분석  :  IE10Analyzer 사용


(참고 : content 테이블로부터 구글 검색어를 확인할 수 있다)




2) 악성파일 다운로드 후 행위 분석


usnJrnl, LogFile, MFT 분석 : NTFS Log Tracker 사용



 SELECT * FROM UsnJrnl WHERE FileName like “%exe%”  and TimeStamp BETWEEN “2016-03-15 13:25:00” AND “2016-03-15 13:26:00" 



레지스트리 분석 : log2timeline 사용



 SELECT * FROM log2timeline WHERE source == "REG" and  datetime BETWEEN "2016-03-15 13:24:00" AND "2016-03-15 13:26:00"



3) 악성파일 실행 후 컴퓨터 상황 


이벤트로그, MFT, 레지스트리 분석 : log2timeline 사용



4) 악성 파일 실행 후 패킷분석


 frame.time > 2016-03-1513:24:00 



5) 컴퓨터 사용흔적 분석


이벤트로그 분석 : ex) System.evtx(재부팅 이벤트)





6) 악성 파일 다운 후 자동 실행 분석


레지스트리 분석 : log2timeline, REGA 사용



 SELECT * FROM log2timeline WHERE source == "REG" and  datetime BETWEEN "2016-03-15 16:55:00" AND "2016-03-15 17:05:00" and description like "%CurrentVersion\Run%"




3. 이미지 분석


...



4. 분석 결과 작성


1) 탐지일시 : 


2) 사용자 정보


3) 감염경로 


4) 감염원인 : 


5) C&C 및 멀웨어 정보


6) 피해내용 :





저작자표시

'보안 > 포렌식' 카테고리의 다른 글

볼라틸리티 (Volatility) -메모리 포렌식  (0) 2016.08.28
메모리 포렌식 기초 지식  (0) 2016.08.28
윈도우 악성코드 포렌식  (0) 2016.05.22
log2timeline(plaso) 사용방법  (1) 2016.05.22
Shortcut  (0) 2015.11.04

'보안/포렌식' Related Articles

티스토리툴바