forensic/침해사고분석 (3) 썸네일형 리스트형 랜섬웨어 침해사고 분석 및 타임라인 보호되어 있는 글입니다. CVE-2018-5955,GitStack 취약점활용 침해사고 분석 gitstack mem writer : Kusti used sites : https://www.base64decode.org/ , https://base64.guru/ used tools : vmware, powershell, volatility2, notepad++, hxd pslist info 0x86995910 Sysmon.exe 3568 476 10 190 0 0 2019-07-06 13:53:52 UTC+0000 //sysmon 확인 0x88671d40 mimikatz.exe 1392 3972 1 100 1 0 2019-07-06 14:01:04 UTC+0000 //미미카츠 사용 0x86c303c8 cmd.exe 2956 3044 0 -------- 1 0 2019-07-06 13:56:57 U.. 침해사고분석 team viewer backdoor Writer : Kusti Used Tools : Volatility2, SysinternalsSuite volatility를 사용해 해당 .vmem파일을 분석한다. imageinfo pstree SkypeC2AutoUpd라는 프로세스가 독립적으로 돌아가고 있는것을 알 수 있다. PID : 1364 해당 PID를 사용해 memdump를 한다. cmdline cmdline에서 PID를 통해 SkypeC2AutoUpdate.exe라는 파일 이름과 해당 파일의 경로를 알 수 있다. 파일 이름 : SkypeC2AutoUpdate.exe 경로 : "C:\Users\PHILLI~1.PRI\AppData\Local\Temp\SkypeC2AutoUpdate.exe" filescan filescan에서 해당 파일의 오프.. 이전 1 다음
