OlympicDestroyer - Volatility Contest 2018 풀이 (1)~(3)

침해 사고 개요 및 공격 시나리오

 

공격 대상 기관 담당자에게 악성 문서 파일이 첨부된 스피어 피싱 메일 전송 -> 메일에 첨부된 문서 파일을 다운로드 하여 열람 시 문서 파일 내에 포함된 악성코드가 실행되어 공격자의 서버와 연결 -> 감염된 시스템에 Empire를 이용하여 Credential 획득( 사용 모듈 : bypassUAC, mimikatz) -> PC-admin에 “Olympic Destroyer” 악성코드 유입 -> Domain Server에 연결된 Host-PC 접근 시도 및 악성코드 감염 시킴 -> 시스템 파괴

 

단서 : 첨부파일 V10 "Olympic_Session_V10" / 메일을 통해 감염.

 

해당 폴더로 이동 후, imageinfo를 통해 메모리 덤프가 어떤 이미지의 것인지 추측해준다.

 

pslist / psscan / pstree / psxview -> 명령어로 로그 만들어준다.

(cmd 관련해서) cmdline, cmdscan, consoles

(네크워크 관련) netscan

dumpfiles / procdump / memdump (-> strings 이용)

 

수상한 부분

(pstree)

- WMI로 실행, 파워쉘이 실행, 트리 관계

- 엑셀을 통한 침입 -> MS 오피스 관련 부분들도 수상

- 작업 스케줄러

(pslist)

- " OSPPSVC.EXE가 파워쉘과 인접한 시간에 실행이 됨.

(netscan)

- 로컬 주소(나의 IP)가 192.168.111.130로 추정이 됨.

- 한 네트워크 망에 걸려있는 IP를 확인할 수 있음. -> 같은 네트워크에 있는 다른 컴퓨터에서 공격이 들어왔다는 것인지 or 해커가 이 컴퓨터를 통해 다른 컴퓨터로 침투를 했다는 것인지 명확하지 X.

(cmdline) OlympicDestroyer3.exe이라는 경로가 있음. -> 추적해야 함.

(consoles) conhost가 파워쉘을 실행했다는 것을 확인 가능. conhost는 csrss.exe(클라이언트 서버 런타임 프로세스)가 실행함.

(filescan)

- 올림픽 디스트로이어 경로 추출, 

- 이미지 vs DAT : 이미지라고 써 있는 것은 이미지 섹션 오브젝트에서 데이터 빼오고, DAT는 데이터 섹션 오브젝트에서 빼오는 것임. 내용적으로는 크게 차이가 X

=> xut.ext와 OlympicDestroy는 악성코드인 것을 확인 가능.

 

---

teikv.exe과 ocxip.exe 프로세스 덤프 해보기. -> procdump 사용. -> 에러.

ocxip랑 teikv.exe는 확인 결과, 악성코드가 맞는 것 같음.

 

=> 4개의 악성 프로세스들을 발견함.

그렇다면, 어디서 들어왔을까? / 어떻게 추가 공격을 하나?

- MS 오피스 관련 프로세스를 메모리덤프와 스트링해줌. 

- 4개의 exe 파일을 각각 strings해줌. (memdump를 해도 되는데, procdump -> strings를 한 이유 : memdump는 strings를 하기 되면 파일이 너무 커짐 -> 검색 어려움.

---

4개 프로세스 심화 분석

- olympicdestroyer -> 공격 스크립트 존재. (LDAP, 계정 패스워드)

- _xut.ext -> 공격 스트립트 존재 (복구 관련 기능 삭제, 부팅 관련 기능 못하게, 이벤트 로그 삭제)

 

어떻게 나가는지(추가공격) -> LDAP, 계정, 패스워드 -> 같은 네트워크 상에 있는 컴퓨터들에 대한 공격이 의심됨.

악성코드 행위 -> 복구, 부팅 못하게, 이벤트 로그 삭제