- [Forensics WRITEUP🟪] Windows Incident Surface 라이트업2024년 08월 08일 04시 30분 56초에 업로드 된 글입니다.작성자: 방세연
🪟Windows Incident Surface
해당 문제의 WriteUp를 작성해볼 것이다.
https://tryhackme.com/r/room/winincidentsurface
openvpn을 통해 kali linux에 vm 배포를 진행해 준비를 완료했다.
이렇게 연결하면 tun0에 tryhackme의 세팅이 나타나는 것을 확인할 수 있다.
칼리 리눅스로부터 windows try hack me 실습환경에 진입했다.
task 3까지는 세팅 및 시나리오 설명 내용이므로 task 4부터 진행하겠다.
해당 명령어를 이용해서 칼리 리눅스 RDP에 접속해주었다.
xfreerdp /u:(username) /p:(password) /v:(Machine IP) /dynamic-resolution
Task 4 Reliability of the System Tools
시스템 도구의 신뢰성
cmd 도구와 ps 도구를 이용해 사용자의 정보를 알아내는 실습이다.
C:\Users\Administrator\Desktop\tools\shells 경로에서 다음과 같은 shells exe를 확인할 수 있었다.
CMD와 PowerShell 두 가지 버전이 있었다.
시스템 도구를 사용해서 10.10.166.79 IP 호스트의 손상된 호스트를 조사하는 것이 시나리오이다.
이번 실습에서는 PowerShell, cmd를 이용해서 사용자의 정보를 탐색하는 것이 목적인 것 같다.
신뢰할 수 있는 명령 쉘이 있는 폴더 경로 C:\Users\Administrator\Desktop\tools\shells가 준비되어 있다.
DFIR은 디지털포렌식 사고대응 용어다. 데이터를 수집하기 위한 툴이라는 것을 알 수 있다.
CMD-DFIR.exe를 관리자 권한으로 실행해서 env_vars.txt를 set, type 해주었다.
잠재적으로 하이재킹된 정보를 찾아내기 위해 필드를 스크린했다.
ComSpec, Path, PSModulePath, Public, TEMP and TMP 가 path hijacking이 많이 일어나는 위치라고 한다.
ComSpec=C:\Windows\system32\cmd.exe Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Program Files\Amazon\cfn-bootstrap\;C:\Program Files\Aurora-Agent;C:\Program Files\dotnet\;C:\Program Files\TortoiseSVN\bin;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\Scripts\;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps; PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\AWS Tools\PowerShell\
PUBLIC=C:\Users\PublicTEMP=C:\Users\ADMINI~1\AppData\Local\Temp\2
TMP=C:\Users\ADMINI~1\AppData\Local\Temp\2sers\Administrator\Desktop\tools\shells>set > env_vars.txt C:\Users\Administrator\Desktop\tools\shells>type env_vars.txt ALLUSERSPROFILE=C:\ProgramData APPDATA=C:\Users\Administrator\AppData\Roaming CLIENTNAME=kali CommonProgramFiles=C:\Program Files\Common Files CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files CommonProgramW6432=C:\Program Files\Common Files COMPUTERNAME=CCTL-WS-018-B21 ComSpec=C:\Windows\system32\cmd.exe DriverData=C:\Windows\System32\Drivers\DriverData HOMEDRIVE=C: HOMEPATH=\Users\Administrator LOCALAPPDATA=C:\Users\Administrator\AppData\Local LOGONSERVER=\\CCTL-WS-018-B21 NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Program Files\Amazon\cfn-bootstrap\;C:\Program Files\Aurora-Agent;C:\Program Files\dotnet\;C:\Program Files\TortoiseSVN\bin;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\Scripts\;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps; PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC PROCESSOR_ARCHITECTURE=AMD64 PROCESSOR_IDENTIFIER=AMD64 Family 23 Model 1 Stepping 2, AuthenticAMD PROCESSOR_LEVEL=23 PROCESSOR_REVISION=0102 ProgramData=C:\ProgramData ProgramFiles=C:\Program Files ProgramFiles(x86)=C:\Program Files (x86) ProgramW6432=C:\Program Files PROMPT=$P$G PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\AWS Tools\PowerShell\ PUBLIC=C:\Users\Public SESSIONNAME=RDP-Tcp#0 SystemDrive=C: SystemRoot=C:\Windows TEMP=C:\Users\ADMINI~1\AppData\Local\Temp\2 TMP=C:\Users\ADMINI~1\AppData\Local\Temp\2 USERDOMAIN=CCTL-WS-018-B21 USERDOMAIN_ROAMINGPROFILE=CCTL-WS-018-B21 USERNAME=Administrator USERPROFILE=C:\Users\Administrator windir=C:\Windows다음과 같은 정보를 알 수 있었다.
PowerShell 경로는 별다른 문제가 보이지 않기때문에 프로필 경로를 확인해주기로 한다.
powershell과 profile.ps1의 절대경로를 where을 이용해서 찾아본다.
이제 powershell과 profile.ps1의 위치 정보를 이용할 수 있게 되었다.
C:\Users\Administrator\Desktop\tools\shells>where powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Users\Administrator\Desktop\tools\shells>where profile.ps1 C:\Users\Administrator\Desktop\tools\shells\profile.ps1 C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1
profile.ps1에 엑세스가 가능한지 명령어를 입력해본다.
그 다음에는, profile.ps1의 내용을 덤프하고 txt파일을 읽어본다. 이로서 event-triggered execution (ATT&CK ID: 1546.013)를 확인할 수 있었다.
if exist "C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1" (echo PROFILE EXISTS) else (echo PROFILE DOES NOT EXIST)
type "C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1" > ps_profile_dump.txt
PS-DFIR에 엑세스할 때는 따로 실행해도 되지만 cmd창에 PS-DFIR.exe를 입력해줘도 된다.
Get-Module | ft ModuleType, Version, Name | tee ps-mods-loaded-modules.txtPS-DFIR을 관리자 권한으로 실행하고 Get-Module 명령어를 계속 사용해줄 예정이다.
ft 명령어를 통해 ps 모듈의 ps_ModuleType, Version, Name 정보를 가져온다.
Get-Module -ListAvailable | select ModuleType, Version, Name | tee ps-mods-all.txtModuleType Version Name ---------- ------- ---- Manifest 3.1.0.0 Microsoft.PowerShell.Management Manifest 3.1.0.0 Microsoft.PowerShell.Utility Script 2.0.0 PSReadlinePS C:\Users\Administrator\Desktop\tools\shells> Get-Module -ListAvailable | select ModuleType, Version, Name | tee ps-mods-all.txt ModuleType Version Name ---------- ------- ---- Script 0.4.7 powershell-yaml Script 1.0.1 Microsoft.PowerShell.Operation.Validation Binary 1.0.0.1 PackageManagement Script 3.4.0 Pester Script 1.0.0.1 PowerShellGet Script 2.0.0 PSReadline Manifest 1.0.1.0 ActiveDirectory Manifest 1.0.0.0 AppBackgroundTask Manifest 2.0.0.0 AppLocker Manifest 1.0.0.0 AppvClient Manifest 2.0.1.0 Appx Manifest 1.0 BestPractices Manifest 2.0.0.0 BitsTransfer Manifest 1.0.0.0 BranchCache Manifest 1.0.0.0 CimCmdlets Manifest 1.0 ConfigCI Manifest 1.0 ConfigDefender Manifest 1.0 ConfigDefenderPerformance Manifest 1.0 Defender Manifest 1.0.1.0 DeliveryOptimization Binary 2.0.0.0 DFSR Manifest 1.0.0.0 DirectAccessClientComponents Script 3.0 Dism Manifest 1.0.0.0 DnsClient Manifest 1.0.0.0 EventTracingManagement Manifest 1.0.0.0 GroupPolicy Binary 2.0.0.0 Hyper-V Binary 1.1 Hyper-V Manifest 2.0.0.0 International Manifest 1.0.0.0 iSCSI Manifest 2.0.0.0 IscsiTarget Script 1.0.0.0 ISE Manifest 1.0.0.0 Kds Manifest 1.0.1.0 Microsoft.PowerShell.Archive Manifest 3.0.0.0 Microsoft.PowerShell.Diagnostics Manifest 3.0.0.0 Microsoft.PowerShell.Host Manifest 1.0.0.0 Microsoft.PowerShell.LocalAccounts Manifest 3.1.0.0 Microsoft.PowerShell.Management Script 1.0 Microsoft.PowerShell.ODataUtils Manifest 3.0.0.0 Microsoft.PowerShell.Security Manifest 3.1.0.0 Microsoft.PowerShell.Utility Manifest 3.0.0.0 Microsoft.WSMan.Management Manifest 1.0 MMAgent Manifest 1.0.0.0 MsDtc Manifest 2.0.0.0 NetAdapter Manifest 1.0.0.0 NetConnection Manifest 1.0.0.0 NetDiagnostics Manifest 1.0.0.0 NetEventPacketCapture Manifest 2.0.0.0 NetLbfo Manifest 1.0.0.0 NetNat Manifest 2.0.0.0 NetQos Manifest 2.0.0.0 NetSecurity Manifest 1.0.0.0 NetSwitchTeam Manifest 1.0.0.0 NetTCPIP Manifest 1.0.0.0 NetWNV Manifest 1.0.0.0 NetworkConnectivityStatus Manifest 1.0.0.0 NetworkSwitchManager Manifest 1.0.0.0 NetworkTransition Manifest 1.0 NFS Manifest 1.0.0.0 Nps Manifest 1.0.0.0 PcsvDevice Binary 1.0.0.0 PersistentMemory Manifest 1.0.0.0 PKI Manifest 1.0.0.0 PlatformIdentifier Manifest 1.0.0.0 PnpDevice Manifest 1.1 PrintManagement Binary 1.0.11 ProcessMitigations Manifest 1.1 PSDesiredStateConfiguration Script 1.0.0.0 PSDiagnostics Binary 1.1.0.0 PSScheduledJob Manifest 2.0.0.0 PSWorkflow Manifest 1.0.0.0 PSWorkflowUtility Manifest 3.0.0.0 RemoteAccess Manifest 2.0.0.0 RemoteDesktop Manifest 1.0.0.0 ScheduledTasks Manifest 2.0.0.0 SecureBoot Manifest 1.0.0.0 SecurityCmdlets Script 1.0.0.0 ServerCore Script 2.0.0.0 ServerManager Cim 1.0.0.0 ServerManagerTasks Manifest 2.0.0.0 SmbShare Manifest 2.0.0.0 SmbWitness Manifest 2.0.0.0 SoftwareInventoryLogging Manifest 1.0.0.0 StartLayout Manifest 2.0.0.0 Storage Manifest 1.0.0.0 StorageBusCache Manifest 2.0.0.0 TLS Manifest 1.0.0.0 TroubleshootingPack Manifest 2.0.0.0 TrustedPlatformModule Binary 2.1.639.0 UEV Manifest 2.0.0.0 UpdateServices Manifest 1.0.0.0 UserAccessLogging Manifest 2.0.0.0 VpnClient Manifest 1.0.0.0 Wdac Manifest 2.0.0.0 Whea Manifest 1.0.0.0 WindowsDeveloperLicense Script 1.0 WindowsErrorReporting Manifest 1.0.0.0 WindowsSearch Manifest 1.0.0.0 WindowsUpdate Manifest 1.0.0.2 WindowsUpdateProvider Binary 4.1.9.0 AWSPowerShell PS C:\Users\Administrator\Desktop\tools\shells>
HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest탈취당한 정보의 레지스트리 경로는 (HKLM)이라고 적힌 내용을 통해 확인할 수 있었다.
마찬가지로 profile.bak에는 ps_profile_dump.txt와 겹치는 내용들이 적혀있었다.
두 txt, bak 파일에서 log를 지우기 위해 사용된 툴의 이름과 steal하기 위한 레지스트리 경로가 적혀졌다.
Task 5 System Profile
시스템 세부 정보 및 구성 / 시스템 프로필 정보 탐색하기
이곳에서는 네트워크 인터페이스 세부정보, 호스트 네임, OS 버전, 아키텍처 정보, 시스템 시간, 로컬 정책 설정을 확인할 수 있다.
Get-CimInstance win32_networkadapterconfiguration -Filter IPEnabled=TRUE | ft DNSHostname, IPAddress, MACAddress | tee interfaces.txt사용자의 초기 맥락 정보를 이해하기 위해 시스템 프로필을 확인해야 한다.
먼저 Get-CimInstance를 통해 호스트 네트워크 인터페이스 정보의 IP주소와 IPv4, IPv6, MAC 정보들을 알아볼 수 있는지 확인해보겠다.
Get-CimInstance -ClassName Win32_OperatingSystem | fl CSName, Version, BuildNumber, InstallDate, LastBootUpTime, OSArchitecture | tee sysinfo.txt해당 명령어는 시간에 대한 정보를 알려준다. InstallDate와 LastBootUpTime은 중요하게 볼 만한 정보인 것 같다.
이때 현재 호스트의 OS 버전과 시스템 관리자의 정보가 일치하지 않는 것같다. (10.0.17763 - 10.0.25398)
이 정보를 바탕으로 다음 정보를 찾아본다.
Get-Date | tee systime.txt ; Get-TimeZone | tee systime.txt -Append시스템 날짜와 시간 정보를 확인할 수 있는 명령어를 입력해주었다.
Date ID는 Turkey Standard Time을 확인할 수 있다.
System Profile을 통해 알아낸 정보들을 찾아서 입력하면 통과할 수 있었다.
Task 6 Users and Sessions
사용자 및 세션
이곳에서는 로컬 사용자 식별, 그룹 식별, 활성 사용자 세션 식별을 확인할 수 있다.
사용자 계정 로그인, 실행, 프로세스 활동을 발견하고, 이 중 악용된 사용자나 그룹이 있는지 확인해본다.
Get-LocalUser | tee l-users.txtGet-CimInstance -Class Win32_UserAccount -Filter "LocalAccount=True" | Format-Table Name, PasswordRequired, PasswordExpires, PasswordChangeable | Tee-Object "user-details.txt"사용자 정보를 확인할 수 있다. 이때, Admin 로컬 사용자 계정은 3개 있다는 점에 유의한다.
Guest에서 PasswordRequired가 False이다. 게스트 계정이 페스워드를 요구받지 않는다는 점이 취약하다.
Get-LocalGroup | ForEach-Object { $members = Get-LocalGroupMember -Group $_.Name; if ($members) { Write-Output "`nGroup: $($_.Name)"; $members | ForEach-Object { Write-Output "`tMember: $($_.Name)" } } } | tee gp-members.txt위에서 봤던 admin 그룹에 있는 member을 확인해준다. 여러 개의 계정이나 admin 그룹의 권한을 가지고 있다. 이 수상한 징후를 유의해서 기억해보아야겠다.
이 다음에는 사용자 세부 정보를 더 알아볼 예정이다.
Guest의 SID넘버와 마지막 로그인 시간을 알아본다.
음 어떤 이유로 PasswordLastSet이 현재 날짜로 나타나는지 잘 모르겠다..
아무튼 Guest 사용자에 대해 더 세부적으로 확인해준 모습이다.
이제 tools의 utils 폴더로 이동해서 명령어를 입력해 정보를 확인해볼 것이다.
Users logged on locally의 8월 8일로 나오면 안되는데 어째서인지 저렇게 나온다..
아무튼 이곳에서는 Administrator과 Guest의 수상한 두 명의 로그인 사용자 로그가 나타난다.
아무래도 Administrator은 우리가 있는 곳이니까 저렇게 출력되는게 맞는 것 같고, Guest에서 수상한 접근이 발견되었다는 점이 유의할만 하다.
마찬가지로 위에서 얻은 정보를 통해 Guest에 관련된 정보와 로그인한 시간대를 입력해본다. 그럼 정답인 것을 알 수 있다.
Task 7 Network Scope
네트워크 범위
네트워크 활성 포트, 연결 정보를 확인하고, 네트워크 위치와 방화벽 규칙을 확인한다.
TCP, UDP에서의 의심스러운 연결을 확인하고, 방화벽에서 예외가 있는 수상한 프로세스 활동을 매핑해본다.
음.. 버퍼사이즈 때문에 텍스트가 일부 생략되어서 나와 우여곡절을 조금 겪었다.
일단 최대한 파워쉘 글자가 모두 출력될 수 있도록 하고 답을 찾아보았다.
TCP-conn.txt를 통해 TCP 활성 포트와 연결을 검토해본다.
INITIAL_LANTERN에서 50119와 8888 포트, 그리고 경로를 확인해보자.
해당 경로에서 시작된 프로세스가 위험하다는 것을 알 수 있다. INITIAL_LANTERN은 악성 프로세스다.
추가로 같은 방식으로 UDP 활동을 검토할 수 있다.
공유된 네트워크 정보를 확인할 수 있는 명령어도 있다.
공유 폴더를 통해 취약점이 나타날 수 있는지 확인해보자.
FirewallProfile은 방화벽 정보를 확인하는 곳이다. 방화벽에서 의도적으로 변경되거나 제작되는 규칙들을 식별한다면,
그것은 매우 중대한 사항이다.
이곳에서 큰 문제점은 나타나지 않는다.
...
이곳에서 방화벽의 빠른 목록을 제공한다. 이 리스트에서 주의해서 확인해봐야할 점은 AnyDesk와 LMV Co.이다.
AnyDesk의 경로와 LMV Co.의 방화벽 규칙을 잘 확인해보자.
추가로, 이 fw rules는 조금 유심히 보아둬야 한다.
나중에 나올 NetSh가 방화벽과 연관되어있으므로, 이 부분을 건들인다는 위험 예측도 해볼 수 있을 것 같다.
위의 자료에 유의해본다면 정답을 입력할 수 있다.
Task 8 Background Activities I: Startup and Registry
스타트업과 레지스트리
Task 8에서는 시작 시퀀스와 레지스트리 세부정보를 확인해본다. 다양한 프로세스를 확인하고 자동 시작 프로그램, 부팅 실행 파일, 부트 파일 등을 파악한다. 모든 파일을 추적하지 않고 수상하게 보여지는 파일들을 중심적으로 검사해보는 접근 방식을 사용해보겠다.
부팅 프로세스에 초점을 맞춘 boot.txt 정보를 사용하여 HKLM 정보를 확인한다. 내용이 상당히 길었던 것으로 기억한다.
연결된 실행 파일, 사용자 계정, 특정 DLL, 레지스트리 등에 대한 자세한 정보를 찾아본다.
해당 세 가지의 내용은 다른 사용자 프로필에 할당되었다는 것을 알 수 있다.
로그온 정보를 확인해보는 명령어를 사용했다. 내용이 좀 길기때문에 나중에 참고해보려고 접은 글에 전체 내용을 달아놓았다. userinit[.]exe파일은 세션을 초기화할 때 기본적으로 사용된다. 추가 실행파일을 가지고 있다면 조금 이례적인 상황이라고 해볼 수 있는 것 같다.
더보기PS C:\Users\Administrator\Desktop\tools\utils> .\autorunsc64.exe -a l * -h | tee logon.txt Sysinternals Autoruns v14.10 - Autostart program viewer Copyright (C) 2002-2023 Mark Russinovich Sysinternals - www.sysinternals.com HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms rdpclip rdpclip RDP Clipboard Monitor Microsoft Corporation 10.0.17763.1697 c:\windows\system32\rdpclip.exe 11/27/1964 2:17 PM MD5: BFE0CEE883BD55C7691E7C1027E2332B SHA1: 50E594B78FF88CE4E93E7293BBD15AD3C5AB3E5A PESHA1: AC638AA87A8FCF006D24DE029DF4EE04A906B069 SHA256: 4972CF79E61A6FF0C4EA410D55C7DEB00D7F799EA958946FCC2EE7FABF13FFEB PESHA256: 5533D791C16FF754A315497807ECB5707C2437E85C4C8D5BD55A7D3001E76025 IMPHASH: E3F33CEBF67721DAC951AFBD20321206 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit C:\Windows\system32\userinit.exe C:\Windows\system32\userinit.exe Userinit Logon Application Microsoft Corporation 10.0.17763.1 c:\windows\system32\userinit.exe 12/31/1958 2:49 PM MD5: BF8825D08BC235F0609CA8BBEF4E179C SHA1: 470C3E60F9B2B6D83F95C7916A5361E34DEC3471 PESHA1: DF688108336B5E2AC79D652521CAE6F14BC4D450 SHA256: 1FE7F7C59EC7EAA276739FA85F7DDA6136D81184E0AEB385B6AC9FEAAA8C4394 PESHA256: A5160EF5F4B97E938DA7E956A3331FB66EA3F9EA7E7D8BEEF313F318F2C11B98 IMPHASH: 8419D97ABDFEB6C320F0C39028647572 cmd.exe cmd.exe Windows Command Processor Microsoft Corporation 10.0.17763.1697 c:\windows\system32\cmd.exe 5/30/2008 3:32 AM MD5: 911D039E71583A07320B32BDE22F8E22 SHA1: DED8FD7F36417F66EB6ADA10E0C0D7C0022986E9 PESHA1: 8F4C943F540AB1BFD6DD2A2820FA9EE7794CE550 SHA256: BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527 PESHA256: 5F98D08805D4EEE36337C81914F0D82191A4D58D24EA2FF2E522A95A5D6E5B73 IMPHASH: 272245E2988E1E430500B852C4FB5E18 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet SystemPropertiesPerformance.exe SystemPropertiesPerformance.exe Change Computer Performance Settings Microsoft Corporation 10.0.17763.1 c:\windows\system32\systempropertiesperformance.exe 12/27/1907 4:03 AM MD5: AB32E55D2DAC9E9427F89D835054F8D7 SHA1: 5ED9658FA4DD4D1EC70157F148D4AE7ABDDE4B66 PESHA1: 284D49497AB1D71F4F6AB471A42B322BA185D5A5 SHA256: 357BDAD469524CDF42680FF44E17CE41C64B38872C4F55E89DE0560FBD003693 PESHA256: E0B8AB13E07B8599AE6187EBAE82422D6D9AC879C2264DE3E8E32D1A816A6340 IMPHASH: 835402499FB5903791DBBE73881263B5 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell explorer.exe explorer.exe Windows Explorer Microsoft Corporation 10.0.17763.1697 c:\windows\explorer.exe 9/21/2012 3:10 AM MD5: 85352486405EFFBAE1240DECDA20C2A0 SHA1: 6FC4D5F0A813473CC44297EE165355028CE7C090 PESHA1: 8C3C012F72305B667CC3CC8DC21D8073393D1C14 SHA256: E2B62E2A745CA56AA4E2EB7B9369DA7714E481304B29F3DE884369EB27D835D4 PESHA256: 05E296AC3EDCEA8B93629D1B931F115277FF040D85EF5F0EB0F8ED28A27156BF IMPHASH: 3EF052F18C0AF035F409392A87FD0B19 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell cmd.exe cmd.exe Windows Command Processor Microsoft Corporation 10.0.17763.1697 c:\windows\system32\cmd.exe 5/30/2008 3:32 AM MD5: 911D039E71583A07320B32BDE22F8E22 SHA1: DED8FD7F36417F66EB6ADA10E0C0D7C0022986E9 PESHA1: 8F4C943F540AB1BFD6DD2A2820FA9EE7794CE550 SHA256: BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527 PESHA256: 5F98D08805D4EEE36337C81914F0D82191A4D58D24EA2FF2E522A95A5D6E5B73 IMPHASH: 272245E2988E1E430500B852C4FB5E18 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AlternateShells\AvailableShells 30000 cmd.exe /c "cd /d "%USERPROFILE%" & start cmd.exe /k runonce.exe /AlternateShellStartup" File not found: cd /d 60000 explorer.exe Windows Explorer Microsoft Corporation 10.0.17763.1697 c:\windows\explorer.exe 9/21/2012 3:10 AM MD5: 85352486405EFFBAE1240DECDA20C2A0 SHA1: 6FC4D5F0A813473CC44297EE165355028CE7C090 PESHA1: 8C3C012F72305B667CC3CC8DC21D8073393D1C14 SHA256: E2B62E2A745CA56AA4E2EB7B9369DA7714E481304B29F3DE884369EB27D835D4 PESHA256: 05E296AC3EDCEA8B93629D1B931F115277FF040D85EF5F0EB0F8ED28A27156BF IMPHASH: 3EF052F18C0AF035F409392A87FD0B19 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SecurityHealth %windir%\system32\SecurityHealthSystray.exe Windows Security notification icon Microsoft Corporation 10.0.17763.1 c:\windows\system32\securityhealthsystray.exe 7/2/1906 5:12 AM MD5: 09F3F2298DDA6EBB57B12C530D35C52C SHA1: D7FC50DC0A08C9EC089E428A03606EE4A2E8C759 PESHA1: 258864A6871EEA36380479F2885C0B1B327DC455 SHA256: 48F852164EF4747FCDDFF463034CAD33167E341D241536B122AE74FC8841C941 PESHA256: 4A942D68E3E6456C8D940B868E8512B01FA753CD662B29F2AFB3ADE88E722092 IMPHASH: 44315EF1FEB6193B3AB5492033CEFAAE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup AnyDesk.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk AnyDesk AnyDesk Software GmbH 8.0.10.0 c:\program files (x86)\anydesk\anydesk.exe 4/24/2024 3:53 PM MD5: AEE6801792D67607F228BE8CEC8291F9 SHA1: BF6BA727FF14CA2FDDF619F292D56DB9D9088066 PESHA1: 83127A3EBEF4B2456465B43B6CF3E8878D3EA080 SHA256: 1CDAFBE519F60AAADB4A92E266FFF709129F86F0C9EE595C45499C66092E0499 PESHA256: 7A27A90AFDE3731D85C6A950746A3A5EF5A7321646E8F74679B3D6AD39C28241 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components Microsoft Windows Media Player %SystemRoot%\system32\unregmp2.exe /ShowWMP Microsoft Windows Media Player Setup Utility Microsoft Corporation 12.0.17763.1 c:\windows\system32\unregmp2.exe 9/30/1990 10:30 AM MD5: 9CF8E80F71544316E5F90F2B87F2350C SHA1: 5D5BF791D38DF29D52F4585A6853FC8242CDB73C PESHA1: 60A53C9A311C3DBB32BC22517FAC97750D01C716 SHA256: DF160ACED402899269A07872038E7CEBE64CBB24DD09D8A4474B12AA6F760653 PESHA256: B05E2B6C7C1DA403546ED91EEAEE303357ED400BFD36E0A36EA175767D41C2F2 IMPHASH: 1DE1DA351E000239456F4F921473BDC8 Themes Setup themeui.dll Windows Theme API Microsoft Corporation 10.0.17763.1697 c:\windows\system32\themeui.dll 12/19/1948 5:05 PM MD5: 00CA0E4BEC8DD38B6026B431F813B00F SHA1: 195BF8AF3659065B24CB0A7603F856311B6C9A72 PESHA1: FD56F156F2436321C2D054582B9D7CF9773DDDE2 SHA256: CC1BD1B9771E1DC6424F4955FE537A84C215A6B0C4D46D44A33251F8F362CE4A PESHA256: 575265F6C1EAFF465D041CEEF954EA2DB4626738342E0DFBA3B5566F856F7138 IMPHASH: 3377BF4AD60C0566FBECF4212621B1A1 Microsoft Windows Media Player %SystemRoot%\system32\unregmp2.exe /FirstLogon Microsoft Windows Media Player Setup Utility Microsoft Corporation 12.0.17763.1 c:\windows\system32\unregmp2.exe 9/30/1990 10:30 AM MD5: 9CF8E80F71544316E5F90F2B87F2350C SHA1: 5D5BF791D38DF29D52F4585A6853FC8242CDB73C PESHA1: 60A53C9A311C3DBB32BC22517FAC97750D01C716 SHA256: DF160ACED402899269A07872038E7CEBE64CBB24DD09D8A4474B12AA6F760653 PESHA256: B05E2B6C7C1DA403546ED91EEAEE303357ED400BFD36E0A36EA175767D41C2F2 IMPHASH: 1DE1DA351E000239456F4F921473BDC8 Windows Desktop Update shell32.dll Windows Shell Common Dll Microsoft Corporation 10.0.17763.1790 c:\windows\system32\shell32.dll 3/3/2006 6:59 AM MD5: 1B9EE5E4CEDD2F92BEF642FB702D6D69 SHA1: 2A8CAD3EA362363DBC8DD0B5EC85C81E2729A362 PESHA1: AC500D1C23DD77B5654AE07EF3DCE4A24ABA1196 SHA256: 79A2D653304A352E6BCF7E33E0C3EC42B5A629505DF09D40432F5F4094872A1A PESHA256: 00D718B7A32FF336FF493B8EDCCAE41303B400EC00BD512225A48019A9BD5ADA IMPHASH: 4C6A425B69AD3E18ACE611520E54E884 Web Platform Customizations C:\Windows\System32\ie4uinit.exe -UserConfig IE Per-User Initialization Utility Microsoft Corporation 11.0.17763.652 c:\windows\system32\ie4uinit.exe 7/11/1981 12:04 AM MD5: A52B135E1865F98C90BF23B3807E51C0 SHA1: BF142E7FA17591BAF7D97E342781C8BCA8545C63 PESHA1: 5F223F5350D78F32C311B521A04233DF8966A9D9 SHA256: 46A3D721ADB36114A5141E5795E4DFC02644FDF8F6C602BCCFDC057784F29DB0 PESHA256: 12C51A253AD15B14BA64730360801B3A1D5DCF8DCB82C9C9ACA996852D2692DB IMPHASH: B898E7CB8AA65CE3FA6187EE093D7F6B n/a C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install Microsoft .NET IE SECURITY REGISTRATION Microsoft Corporation 2.0.50727.9031 c:\windows\system32\mscories.dll 8/8/2018 6:18 AM MD5: 55E13DD52266781390123239FCB59E7B SHA1: 91037E05C0F49595C230E26789A936CF492FF830 PESHA1: 9CA91E3C8E0008B1DEB963FEBEB03DD323B4E111 SHA256: B2E30D3E728A1960F7C847C2E3B0EB616F56D309359796D543EB910B8DF07CA5 PESHA256: B5899C49522601181D36D9FBF8DD4EC6366B41CA9D81E70002F5D4EC22939468 IMPHASH: AB8FA7A93A14C9EDE0B84EB9ECAFBAC2 Google Chrome "C:\Program Files\Google\Chrome\Application\126.0.6478.114\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --channel=stable Google Chrome Installer Google LLC 126.0.6478.114 c:\program files\google\chrome\application\126.0.6478.114\installer\chrmstp.exe 6/17/2024 11:55 PM MD5: 36F9F0B7186D6D8E52ED2A794D3A0CE1 SHA1: 5C79C4E65581239412BF19C0B2C8C27B94A866E6 PESHA1: 6ABCAF28B9FA3438564703FFBA57D41E8F06DD67 SHA256: 40C45622685F5F54588D5C397B7FB8FC509AC9F8446B0963AF314A541F18A69E PESHA256: 648721845B8F523CD8ADA22E899B48FD363A808B5D35D9084EC3529CF8D14D61 IMPHASH: 5EE2AB762FA8D4FC5F9A047C2ED853EA Applying Enhanced Security Configuration "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iesetup.dll",IEHardenAdmin IOD Version Map Microsoft Corporation 11.0.17763.1 c:\windows\system32\iesetup.dll 4/26/1955 4:49 AM MD5: 06D9E39994E9CB486B07E05CAAC321C1 SHA1: CB8936D04D9A992163B8F236EFC3B8BAFD4F26D3 PESHA1: 73268C53C41034163A91399059DA2B30E892DCDE SHA256: BE2C5ADB7445D8102848E51BF77A03C7A731C456F241C2A0B39CC852DEE5CD97 PESHA256: B90BA7691A93810CBD2D099A0971A7B0AF4EE1360FEEC084937C5CDA5E885D7E IMPHASH: FFD26F19E29CEF9F551DED1D2FA50CF8 Applying Enhanced Security Configuration "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iesetup.dll",IEHardenUser IOD Version Map Microsoft Corporation 11.0.17763.1 c:\windows\system32\iesetup.dll 4/26/1955 4:49 AM MD5: 06D9E39994E9CB486B07E05CAAC321C1 SHA1: CB8936D04D9A992163B8F236EFC3B8BAFD4F26D3 PESHA1: 73268C53C41034163A91399059DA2B30E892DCDE SHA256: BE2C5ADB7445D8102848E51BF77A03C7A731C456F241C2A0B39CC852DEE5CD97 PESHA256: B90BA7691A93810CBD2D099A0971A7B0AF4EE1360FEEC084937C5CDA5E885D7E IMPHASH: FFD26F19E29CEF9F551DED1D2FA50CF8 HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components Microsoft Windows Media Player %SystemRoot%\system32\unregmp2.exe /ShowWMP Microsoft Windows Media Player Setup Utility Microsoft Corporation 12.0.17763.1 c:\windows\syswow64\unregmp2.exe 1/3/2036 12:22 PM MD5: 33A85B3DCFFEADA67C98EAC342B93DCB SHA1: 33856AD378DB2ECEAEF0C7F4817995A277F25592 PESHA1: 34E5C7262181A1476F88271FA43385C7BAB7F6CD SHA256: 1DF2F5FC3369F5901068AD9463D7A165FD8E7EE7A12CA6C1A88992BB1484632E PESHA256: F78219179657C76950961DE298BE9A5875E7A643646F21DD533DDDA1FA319067 IMPHASH: 567DEBB2A156B506ED421C435F1B2E33 Microsoft Windows Media Player %SystemRoot%\system32\unregmp2.exe /FirstLogon Microsoft Windows Media Player Setup Utility Microsoft Corporation 12.0.17763.1 c:\windows\syswow64\unregmp2.exe 1/3/2036 12:22 PM MD5: 33A85B3DCFFEADA67C98EAC342B93DCB SHA1: 33856AD378DB2ECEAEF0C7F4817995A277F25592 PESHA1: 34E5C7262181A1476F88271FA43385C7BAB7F6CD SHA256: 1DF2F5FC3369F5901068AD9463D7A165FD8E7EE7A12CA6C1A88992BB1484632E PESHA256: F78219179657C76950961DE298BE9A5875E7A643646F21DD533DDDA1FA319067 IMPHASH: 567DEBB2A156B506ED421C435F1B2E33 n/a C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install Microsoft .NET IE SECURITY REGISTRATION Microsoft Corporation 2.0.50727.9031 8/8/2018 6:28 AM MD5: 7A0B0FBB84ADECDCDF8DBAE89298B3DE SHA1: 4C2EFC4FE459CBF8D9B7784815169769A221E1DF PESHA1: B3AAF6C889C93561075CFBC96080B4C6C57F3229 SHA256: 6B46626A1EEF501F527160B10675862368887258766EFE8CEFAAE1E13C88B887 IMPHASH: 08A027E94DD9452BDF5B6AF03B573759 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib IconCodecService.dll IconCodecService.dll Converts a PNG part of the icon to a legacy bmp icon Microsoft Corporation 10.0.17763.1 c:\windows\system32\iconcodecservice.dll 5/9/1956 3:37 AM MD5: 6B67CE980C9D91D60015E0CB12945A04 SHA1: C3139884E31F50184C6C33B429B1260460562316 SHA256: 80621FCB7C569830404A0355C57B35FDEDB9E74B773B539E84AC3674C8283705 PESHA256: B979B6A3F3380266FBD05320B8BE935A78DE123DAA6C50B61AC4FFB8F808DCEC IMPHASH: BC4916A3897FAE424D0E5B39B694361B HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup RunWallpaperSetup.cmd C:\Users\Adminstrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RunWallpaperSetup.cmd c:\users\adminstrator\appdata\roaming\microsoft\windows\start menu\programs\startup\runwallpapersetup.cmd 2/27/2024 2:45 PM MD5: FA9D7A03029739B5B2001E922E850A64 SHA1: 05276AE99DCAF6C6F1B9765EF8A035AA86060B86 PESHA1: 05276AE99DCAF6C6F1B9765EF8A035AA86060B86 SHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7 PESHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup RunWallpaperSetup.cmd C:\Users\Guest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RunWallpaperSetup.cmd c:\users\guest\appdata\roaming\microsoft\windows\start menu\programs\startup\runwallpapersetup.cmd 2/28/2024 10:58 AM MD5: FA9D7A03029739B5B2001E922E850A64 SHA1: 05276AE99DCAF6C6F1B9765EF8A035AA86060B86 PESHA1: 05276AE99DCAF6C6F1B9765EF8A035AA86060B86 SHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7 PESHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7
주의깊게 확인해보라고 제시된 점은 cmd.exe 파일과 userinit.exe다.
왜 주의를 기울여야 하는지 조금 더 알 것 같다. Winlogon 과정에서 보통은 userinit.exe만을 기본적으로 사용하지만, cmd.exe가 함께 실행 프로세스로 제시되었기 때문이다. 일단은 이 부분을 중요하게 둘 만한 정보로 기록해둔다.
그러므로 Winlogon에 대한 정보를 조금 더 확인해주었다.
userinit 키에는 두 개의 값이 포함되어 있다.
cmd.exe에
"start /min netsh.exe -c"이런 내용이 있다. 그런데 cmd로 netsh.exe를 굳이 조용히 시작할 필요가 있을까..? 수상하다. 여기서 실행 파일이 사용자 몰래 실행된다면 그건 확실히 의심스럽다. 이 활동을 조금 더 추적해볼 수 있을 것 같다. netsh.exe에 대해서도 좀 더 알아볼 수 있었으면 좋겠다.
사용자가 로그인을 했을 때 자동으로 시작되어야 하는 프로그램과 기본 위치를 살펴보는 정보를 읽어보겠다.
CurrentVersion\Run
해당 위치를 나타내고 있다. 그렇다면 NetSH는?
NetSh는 사용자의 눈에 띄지 않는 곳에서 잠재적인 활동을 하고있다. netshell 실행 파일은 dll을 로드하고 있다.
여기서 눈에 띄는 dll 명은 .\fwshield.dll이다. 일관적이지 않은 다른 항목을 발견할 수 있다.
뭔가 방화벽 규칙에 관련된 정보를 파악했을 때 NetSh가 잠재적으로 실행될 위험이 있는 것 같다.
Task 9 Background Activities II: Services and Scheduled Items
서비스, 예약된 항목
이 실습에서는 백그라운드에서 작동하는 지속적인 사용 서비스 패턴을 확인해보게 된다. 순서에 따라 서비스와 예약된 작업이 잘 진행되고 있는지 식별해내는 것이 중요한 시스템의 과정이다. 특정한 프로세스의 시작 순서가 수상하지는 않은지, 실행 중인 서비스에 이상은 없는지 확인해봐야 한다.
"Running Services:"; Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" } | Select-Object Name, DisplayName, State, StartMode, PathName, ProcessId | ft -AutoSize | tee services-active.txt다음은 실행 중인 프로세스 정보를 나열하는 명령어를 입력한 것이다. State, StartMode, PathName, ProcessId 정보는 이상이 있는 정보를 확인하고 검사할 때 유용한 부분이 될 수 있다.
PS C:\Users\Administrator\Desktop\tools\utils> "Running Services:"; Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" } | Select-Object Name, DisplayName, State, StartMode, PathName, ProcessId | ft -AutoSize | tee services-active.txt Running Services: Name DisplayName State StartMode PathName ProcessId ---- ----------- ----- --------- -------- --------- AmazonSSMAgent Amazon SSM Agent Running Auto "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe" 3488 AnyDesk AnyDesk Service Running Auto "C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --service 1904 BFE Base Filtering Engine Running Auto C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p 1308 BrokerInfrastructure Background Tasks Infrastructure Service Running Auto C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 CDPSvc Connected Devices Platform Service Running Auto C:\Windows\system32\svchost.exe -k LocalService -p 1116 CertPropSvc Certificate Propagation Running Manual C:\Windows\system32\svchost.exe -k netsvcs 1472 CoreMessagingRegistrar CoreMessaging Running Auto C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork -p 1572 CryptSvc Cryptographic Services Running Auto C:\Windows\system32\svchost.exe -k NetworkService -p 1176 DcomLaunch DCOM Server Process Launcher Running Auto C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 Dhcp DHCP Client Running Auto C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p 1064 Dnscache DNS Client Running Auto C:\Windows\system32\svchost.exe -k NetworkService -p 1176 DPS Diagnostic Policy Service Running Auto C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p 1572 DsmSvc Device Setup Manager Running Manual C:\Windows\system32\svchost.exe -k netsvcs -p 952 DsSvc Data Sharing Service Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 EventLog Windows Event Log Running Auto C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p 1064 EventSystem COM+ Event System Running Auto C:\Windows\system32\svchost.exe -k LocalService -p 1116 FontCache Windows Font Cache Service Running Auto C:\Windows\system32\svchost.exe -k LocalService -p 1116 gpsvc Group Policy Client Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 IKEEXT IKE and AuthIP IPsec Keying Modules Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 iphlpsvc IP Helper Running Auto C:\Windows\System32\svchost.exe -k NetSvcs -p 952 KeyIso CNG Key Isolation Running Manual C:\Windows\system32\lsass.exe 644 LanmanServer Server Running Auto C:\Windows\System32\svchost.exe -k smbsvcs 2036 LanmanWorkstation Workstation Running Auto C:\Windows\System32\svchost.exe -k NetworkService -p 1176 LicenseManager Windows License Manager Service Running Manual C:\Windows\System32\svchost.exe -k LocalService -p 1116 lmhosts TCP/IP NetBIOS Helper Running Manual C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p 1064 LMVCSS Less Murphy Ventures Service Shield Running Auto C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe 1972 LSM Local Session Manager Running Auto C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 mpssvc Windows Defender Firewall Running Auto C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p 1308 MSDTC Distributed Transaction Coordinator Running Auto C:\Windows\System32\msdtc.exe 356 NcbService Network Connection Broker Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 netprofm Network List Service Running Manual C:\Windows\System32\svchost.exe -k LocalService -p 1116 NlaSvc Network Location Awareness Running Auto C:\Windows\System32\svchost.exe -k NetworkService -p 1176 nsi Network Store Interface Service Running Auto C:\Windows\system32\svchost.exe -k LocalService -p 1116 PcaSvc Program Compatibility Assistant Service Running Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p 264 PlugPlay Plug and Play Running Manual C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 PolicyAgent IPsec Policy Agent Running Manual C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted -p 1436 Power Power Running Auto C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 ProfSvc User Profile Service Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 RasMan Remote Access Connection Manager Running Auto C:\Windows\System32\svchost.exe -k netsvcs 1472 RpcEptMapper RPC Endpoint Mapper Running Auto C:\Windows\system32\svchost.exe -k RPCSS -p 864 RpcSs Remote Procedure Call (RPC) Running Auto C:\Windows\system32\svchost.exe -k rpcss -p 864 SamSs Security Accounts Manager Running Auto C:\Windows\system32\lsass.exe 644 Schedule Task Scheduler Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 SENS System Event Notification Service Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 SessionEnv Remote Desktop Configuration Running Manual C:\Windows\System32\svchost.exe -k netsvcs -p 952 ShellHWDetection Shell Hardware Detection Running Auto C:\Windows\System32\svchost.exe -k netsvcs -p 952 Spooler Print Spooler Running Auto C:\Windows\System32\spoolsv.exe 1540 SstpSvc Secure Socket Tunneling Protocol Service Running Manual C:\Windows\system32\svchost.exe -k LocalService -p 1116 StateRepository State Repository Service Running Manual C:\Windows\system32\svchost.exe -k appmodel -p 3904 StorSvc Storage Service Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 SysMain SysMain Running Auto C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p 264 Sysmon Sysmon Running Auto C:\Windows\Sysmon.exe 1912 SystemEventsBroker System Events Broker Running Auto C:\Windows\system32\svchost.exe -k DcomLaunch -p 748 TabletInputService Touch Keyboard and Handwriting Panel Service Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 TermService Remote Desktop Services Running Manual C:\Windows\System32\svchost.exe -k termsvcs 960 Themes Themes Running Auto C:\Windows\System32\svchost.exe -k netsvcs -p 952 TimeBrokerSvc Time Broker Running Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p 1064 TokenBroker Web Account Manager Running Manual C:\Windows\system32\svchost.exe -k netsvcs -p 952 TrkWks Distributed Link Tracking Client Running Auto C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 UALSVC User Access Logging Service Running Auto C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p 264 UmRdpService Remote Desktop Services UserMode Port Redirector Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 UserManager User Manager Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 UsoSvc Update Orchestrator Service Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 W32Time Windows Time Running Auto C:\Windows\system32\svchost.exe -k LocalService 1800 Wcmsvc Windows Connection Manager Running Auto C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p 1168 WdiSystemHost Diagnostic System Host Running Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p 264 WinDefend Windows Defender Antivirus Service Running Auto "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24050.7-0\MsMpEng.exe" 1944 WinHttpAutoProxySvc WinHTTP Web Proxy Auto-Discovery Service Running Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p 1064 Winmgmt Windows Management Instrumentation Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 WinRM Windows Remote Management (WS-Management) Running Auto C:\Windows\System32\svchost.exe -k NetworkService -p 1176 WpnService Windows Push Notifications System Service Running Auto C:\Windows\system32\svchost.exe -k netsvcs -p 952 WSearch Windows Search Running Auto C:\Windows\system32\SearchIndexer.exe /Embedding 4680 CDPUserSvc_367238 Connected Devices Platform User Service_367238 Running Auto C:\Windows\system32\svchost.exe -k UnistackSvcGroup 1036 WpnUserService_367238 Windows Push Notifications User Service_367238 Running Auto C:\Windows\system32\svchost.exe -k UnistackSvcGroup 1036
LMVCSS C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe실행 중인 프로세스에서 LMVCSS 목록을 확인했을 때 수상한 경로를 확인했다.
앞서 앞에서 진행 중인 실습에서 INITIAL_LANTERN.exe 악성 프로세스를 확인했었는데, LMVCSS는 이 경로를 나타내고 있다. 따라서 LMVCSS는 조금 더 분석해볼만 하다.
E9AA7564B2D1D612479E193A9F8CB70DF9CFBE02A39900EEE22FE266F5320EBFLMVCSS는 아마도 악성 프로세스의 지속성을 위해 서비스의 형태로 주어져있음을 예측해볼 수 있겠다.
LMVCSS 경로의 Hash값을 확인해보기 위해 다음과 같은 명령어를 입력해 세부정보를 출력한다.
aurora-agent Aurora Agent Stopped Auto "C:\Program Files\Aurora-Agent\aurora-agent-64.exe" --service --config "C:\P...C:\Program Files\Aurora-Agent\aurora-agent-64.exe
Aurora Agent는 Non-Running-Service로서 실행 중이 아니다.
시작 모드가 Auto로 설정되어있지만 보안 서비스인 Aurora Agent가 실행하지 않는다는 점은 더 알아볼 만하다.
이 Aurora Agent를 유심히 살펴보며 Hash값과 각종 정보들을 확인해보려고 한다.
Name DisplayName State StartMode PathName ---- ----------- ----- --------- -------- AJRouter AllJoyn Router Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p ALG Application Layer Gateway Service Stopped Manual C:\Windows\System32\alg.exe AppIDSvc Application Identity Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p Appinfo Application Information Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p AppMgmt Application Management Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p AppReadiness App Readiness Stopped Manual C:\Windows\System32\svchost.exe -k AppReadiness -p AppVClient Microsoft App-V Client Stopped Disabled C:\Windows\system32\AppVClient.exe AppXSvc AppX Deployment Service (AppXSVC) Stopped Manual C:\Windows\system32\svchost.exe -k wsappx -p AudioEndpointBuilder Windows Audio Endpoint Builder Stopped Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p Audiosrv Windows Audio Stopped Manual C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p aurora-agent Aurora Agent Stopped Auto "C:\Program Files\Aurora-Agent\aurora-agent-64.exe" --service --config "C:\P... AWSLiteAgent AWS Lite Guest Agent Stopped Auto "C:\Program Files\Amazon\XenTools\LiteAgent.exe" AxInstSV ActiveX Installer (AxInstSV) Stopped Disabled C:\Windows\system32\svchost.exe -k AxInstSVGroup BITS Background Intelligent Transfer Service Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p BTAGService Bluetooth Audio Gateway Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted BthAvctpSvc AVCTP service Stopped Manual C:\Windows\system32\svchost.exe -k LocalService -p bthserv Bluetooth Support Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalService -p camsvc Capability Access Manager Service Stopped Manual C:\Windows\system32\svchost.exe -k appmodel -p cfn-hup CloudFormation cfn-hup Stopped Manual "C:\Program Files\Amazon\cfn-bootstrap\winhup.exe" ClipSVC Client License Service (ClipSVC) Stopped Manual C:\Windows\System32\svchost.exe -k wsappx -p COMSysApp COM+ System Application Stopped Manual C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC7... CscService Offline Files Stopped Disabled C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p defragsvc Optimize drives Stopped Manual C:\Windows\system32\svchost.exe -k defragsvc DeviceAssociationSe... Device Association Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p DeviceInstall Device Install Service Stopped Manual C:\Windows\system32\svchost.exe -k DcomLaunch -p DevQueryBroker DevQuery Background Discovery Broker Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p diagnosticshub.stan... Stopped Manual C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe DiagTrack Connected User Experiences and Telemetry Stopped Disabled C:\Windows\System32\svchost.exe -k utcsvc -p DmEnrollmentSvc Device Management Enrollment Service Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p dmwappushservice Stopped Disabled C:\Windows\system32\svchost.exe -k netsvcs -p DoSvc Delivery Optimization Stopped Auto C:\Windows\System32\svchost.exe -k NetworkService -p dot3svc Wired AutoConfig Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p Eaphost Extensible Authentication Protocol Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p EFS Encrypting File System (EFS) Stopped Manual C:\Windows\System32\lsass.exe embeddedmode Embedded Mode Stopped Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p EntAppSvc Enterprise App Management Service Stopped Manual C:\Windows\system32\svchost.exe -k appmodel -p fdPHost Function Discovery Provider Host Stopped Manual C:\Windows\system32\svchost.exe -k LocalService -p FDResPub Function Discovery Resource Publication Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p FrameServer Windows Camera Frame Server Stopped Manual C:\Windows\System32\svchost.exe -k Camera GoogleChromeElevati... Stopped Manual "C:\Program Files\Google\Chrome\Application\126.0.6478.114\elevation_service... GoogleUpdaterIntern... Stopped Auto "C:\Program Files (x86)\Google\GoogleUpdater\128.0.6537.0\updater.exe" --sys... GoogleUpdaterServic... Stopped Auto "C:\Program Files (x86)\Google\GoogleUpdater\128.0.6537.0\updater.exe" --sys... GraphicsPerfSvc GraphicsPerfSvc Stopped Disabled C:\Windows\System32\svchost.exe -k GraphicsPerfSvcGroup hidserv Human Interface Device Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p HvHost HV Host Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p icssvc Windows Mobile Hotspot Service Stopped Disabled C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p InstallService Microsoft Store Install Service Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p KPSSVC KDC Proxy Server service (KPS) Stopped Manual C:\Windows\system32\svchost.exe -k KpsSvcGroup KtmRm KtmRm for Distributed Transaction Coordinator Stopped Manual C:\Windows\System32\svchost.exe -k NetworkServiceAndNoImpersonation -p lfsvc Geolocation Service Stopped Disabled C:\Windows\system32\svchost.exe -k netsvcs -p lltdsvc Link-Layer Topology Discovery Mapper Stopped Disabled C:\Windows\System32\svchost.exe -k LocalService -p MapsBroker Downloaded Maps Manager Stopped Disabled C:\Windows\System32\svchost.exe -k NetworkService -p MSiSCSI Microsoft iSCSI Initiator Service Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p msiserver Windows Installer Stopped Manual C:\Windows\system32\msiexec.exe /V NcaSvc Network Connectivity Assistant Stopped Manual C:\Windows\System32\svchost.exe -k NetSvcs -p Netlogon Netlogon Stopped Manual C:\Windows\system32\lsass.exe Netman Network Connections Stopped Manual C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p NetSetupSvc Network Setup Service Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p NetTcpPortSharing Net.Tcp Port Sharing Service Stopped Disabled C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe NgcCtnrSvc Microsoft Passport Container Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p NgcSvc Microsoft Passport Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p PerfHost Performance Counter DLL Host Stopped Manual C:\Windows\SysWow64\perfhost.exe PhoneSvc Phone Service Stopped Disabled C:\Windows\system32\svchost.exe -k LocalService -p pla Performance Logs & Alerts Stopped Manual C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p PrintNotify Printer Extensions and Notifications Stopped Manual C:\Windows\system32\svchost.exe -k print PushToInstall Windows PushToInstall Service Stopped Disabled C:\Windows\System32\svchost.exe -k netsvcs -p QWAVE Quality Windows Audio Video Experience Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p RasAuto Remote Access Auto Connection Manager Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p RemoteAccess Routing and Remote Access Stopped Disabled C:\Windows\System32\svchost.exe -k netsvcs RemoteRegistry Remote Registry Stopped Auto C:\Windows\system32\svchost.exe -k localService -p RmSvc Radio Management Service Stopped Disabled C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted RpcLocator Remote Procedure Call (RPC) Locator Stopped Manual C:\Windows\system32\locator.exe RSoPProv Resultant Set of Policy Provider Stopped Manual C:\Windows\system32\RSoPProv.exe sacsvr Special Administration Console Helper Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p SCardSvr Smart Card Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation ScDeviceEnum Smart Card Device Enumeration Service Stopped Disabled C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted SCPolicySvc Smart Card Removal Policy Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs seclogon Secondary Logon Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p SecurityHealthService Windows Security Service Stopped Manual C:\Windows\system32\SecurityHealthService.exe SEMgrSvc Payments and NFC/SE Manager Stopped Disabled C:\Windows\system32\svchost.exe -k LocalService -p Sense Stopped Manual "C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe" SensorDataService Sensor Data Service Stopped Disabled C:\Windows\System32\SensorDataService.exe SensorService Sensor Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p SensrSvc Sensor Monitoring Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p SgrmBroker System Guard Runtime Monitor Broker Stopped Manual C:\Windows\system32\SgrmBroker.exe SharedAccess Internet Connection Sharing (ICS) Stopped Disabled C:\Windows\System32\svchost.exe -k netsvcs -p shpamsvc Shared PC Account Manager Stopped Disabled C:\Windows\System32\svchost.exe -k netsvcs -p smphost Microsoft Storage Spaces SMP Stopped Manual C:\Windows\System32\svchost.exe -k smphost SNMPTRAP SNMP Trap Stopped Manual C:\Windows\System32\snmptrap.exe sppsvc Software Protection Stopped Auto C:\Windows\system32\sppsvc.exe SSDPSRV SSDP Discovery Stopped Disabled C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p ssh-agent OpenSSH Authentication Agent Stopped Disabled C:\Windows\System32\OpenSSH\ssh-agent.exe stisvc Windows Image Acquisition (WIA) Stopped Manual C:\Windows\system32\svchost.exe -k imgsvc svsvc Spot Verifier Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p swprv Microsoft Software Shadow Copy Provider Stopped Manual C:\Windows\System32\svchost.exe -k swprv tapisrv Telephony Stopped Manual C:\Windows\System32\svchost.exe -k NetworkService -p TieringEngineService Storage Tiers Management Stopped Manual C:\Windows\system32\TieringEngineService.exe TrustedInstaller Windows Modules Installer Stopped Manual C:\Windows\servicing\TrustedInstaller.exe tzautoupdate Auto Time Zone Updater Stopped Disabled C:\Windows\system32\svchost.exe -k LocalService -p UevAgentService User Experience Virtualization Service Stopped Disabled C:\Windows\system32\AgentService.exe upnphost UPnP Device Host Stopped Disabled C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p VaultSvc Credential Manager Stopped Manual C:\Windows\system32\lsass.exe vds Virtual Disk Stopped Manual C:\Windows\System32\vds.exe vmicguestinterface Hyper-V Guest Service Interface Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p vmicheartbeat Hyper-V Heartbeat Service Stopped Manual C:\Windows\system32\svchost.exe -k ICService -p vmickvpexchange Hyper-V Data Exchange Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p vmicrdv Hyper-V Remote Desktop Virtualization Service Stopped Manual C:\Windows\system32\svchost.exe -k ICService -p vmicshutdown Hyper-V Guest Shutdown Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p vmictimesync Hyper-V Time Synchronization Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p vmicvmsession Hyper-V PowerShell Direct Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p vmicvss Hyper-V Volume Shadow Copy Requestor Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p VSS Volume Shadow Copy Stopped Manual C:\Windows\system32\vssvc.exe WaaSMedicSvc Windows Update Medic Service Stopped Manual C:\Windows\system32\svchost.exe -k wusvcs -p WalletService WalletService Stopped Disabled C:\Windows\System32\svchost.exe -k appmodel -p WarpJITSvc WarpJITSvc Stopped Manual C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted WbioSrvc Windows Biometric Service Stopped Manual C:\Windows\system32\svchost.exe -k WbioSvcGroup WdiServiceHost Diagnostic Service Host Stopped Manual C:\Windows\System32\svchost.exe -k LocalService -p WdNisSvc Stopped Manual "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24050.7-0\NisSrv.exe" Wecsvc Windows Event Collector Stopped Manual C:\Windows\system32\svchost.exe -k NetworkService -p WEPHOSTSVC Windows Encryption Provider Host Service Stopped Manual C:\Windows\system32\svchost.exe -k WepHostSvcGroup wercplsupport Stopped Manual C:\Windows\System32\svchost.exe -k netsvcs -p WerSvc Windows Error Reporting Service Stopped Manual C:\Windows\System32\svchost.exe -k WerSvcGroup WiaRpc Still Image Acquisition Events Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p wisvc Windows Insider Service Stopped Disabled C:\Windows\system32\svchost.exe -k netsvcs -p wlidsvc Microsoft Account Sign-in Assistant Stopped Manual C:\Windows\system32\svchost.exe -k netsvcs -p wmiApSrv WMI Performance Adapter Stopped Manual C:\Windows\system32\wbem\WmiApSrv.exe WMPNetworkSvc Windows Media Player Network Sharing Service Stopped Manual "C:\Program Files\Windows Media Player\wmpnetwk.exe" WPDBusEnum Portable Device Enumerator Service Stopped Manual C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted CaptureService_4d465 CaptureService_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k LocalService -p cbdhsvc_4d465 Clipboard User Service_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p CDPUserSvc_4d465 Connected Devices Platform User Service_4d465 Stopped Auto C:\Windows\system32\svchost.exe -k UnistackSvcGroup ConsentUxUserSvc_4d465 ConsentUX_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k DevicesFlow DevicePickerUserSvc... DevicePicker_4d465 Stopped Disabled C:\Windows\system32\svchost.exe -k DevicesFlow DevicesFlowUserSvc_... DevicesFlow_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k DevicesFlow PimIndexMaintenance... Contact Data_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k UnistackSvcGroup PrintWorkflowUserSv... PrintWorkflow_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k PrintWorkflow UnistoreSvc_4d465 User Data Storage_4d465 Stopped Manual C:\Windows\System32\svchost.exe -k UnistackSvcGroup UserDataSvc_4d465 User Data Access_4d465 Stopped Manual C:\Windows\system32\svchost.exe -k UnistackSvcGroup WpnUserService_4d465 Windows Push Notifications User Service_4d465 Stopped Auto C:\Windows\system32\svchost.exe -k UnistackSvcGroup CaptureService_1d8ddd CaptureService_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k LocalService -p cbdhsvc_1d8ddd Clipboard User Service_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p ConsentUxUserSvc_1d... ConsentUX_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k DevicesFlow DevicePickerUserSvc... DevicePicker_1d8ddd Stopped Disabled C:\Windows\system32\svchost.exe -k DevicesFlow DevicesFlowUserSvc_... DevicesFlow_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k DevicesFlow PimIndexMaintenance... Contact Data_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k UnistackSvcGroup PrintWorkflowUserSv... PrintWorkflow_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k PrintWorkflow UnistoreSvc_1d8ddd User Data Storage_1d8ddd Stopped Manual C:\Windows\System32\svchost.exe -k UnistackSvcGroup UserDataSvc_1d8ddd User Data Access_1d8ddd Stopped Manual C:\Windows\system32\svchost.exe -k UnistackSvcGroupGet-FileHash " C:\Program Files\Aurora-Agent\aurora-agent-64.exe " | tee service-file-2.txt
Get-Item -Path " C:\Program Files\Aurora-Agent\aurora-agent-64.exe " | fl Name, FullName, Length, CreationTime, LastAccessTime, LastWriteTime, VersionInfo | tee service-file-2-details.txt
D5C8BF2D3B56B21639D8152DB277DD714BA1A61BDAF2350BD0FF7E61D2A99003
다음과 같은 aurora-agent-64.exe의 해시 값 정보를 확인할 수 있었다. 또한 경로도 확인되었다.
발견된 경로를 통해 Name, FullName, Length, CreationTime, LastAccessTime, LastWriteTime, VersionInfo를 확인하도록 한다. 이때 발견될 수 있는 OriginalFilename은 x3xv5weg, 즉 서비스 실행 파일 aurora-agent의 이름이 나타난다. 이 정보는 매우 중요하다. 무언가 합법적이지 않은 인스턴스가 해당 info에서 나타난다.
이번에는 scheduled task(예약된 작업)을 확인해볼 것이다. 여기서 Aurora-agent와 연결되어 있는 작업을 확인해보아야 한다. 잘보면 두 개의 scheduled task가 C:\Program Files\Aurora-Agent\aurora-agent-util.exe에 연결되어 있는 것을 확인할 수 있다.
현재 시스템에 등록된 예약된 작업을 나열해보는데, 빠른 검사는 시스템에 등록된 예약 작업이 없음을 나타내고 있다.
위의 정보들을 통해 핵심 내용들을 submit하면 다음 단계로 진입할 수 있다.
Task 10 Background Activities III: Processes and Directories
동적 활동 프로세스
프로세스의 이상 징후를 명확하게 파악하기 위해서 해당 실습을 진행한다.
프로세스의 비정상적인 이름, 경로, 프로세스 부모-자식 관계, 명령과 그 이전의 단계의 결과를 파악하기 위한 작업을 해주도록 하겠다. 프로세스 세부 정보들을 나열할 것이므로 다음 정보를 토대로 정답을 유추해보자.
다음 프로세스 정보에서 유의해볼만한 점은 INTIAL_LANTERN[.]exe와 ssh.exe, aurora-agent-64.exe이다.
해당 프로세스 정보를 따로 빼와서 코드로 적어보도록 하겠다.
aurora-agent-64.exe 3848 960 SYSTEM "C:\Program Files\Aurora-Agent\aurora-agent-64.exe" C:\Program Files\Aurora-Agent\aurora-agent-64.exe conhost.exe 544 3848 SYSTEM \??\C:\Windows\system32\conhost.exe 0x4 C:\Windows\system32\conhost.exe ssh.exe 4280 3848 SYSTEM "C:\Windows\System32\OpenSSH\ssh.exe" james@10.10.10.10 C:\Windows\System32\OpenSSH\ssh.exessh 연결 시도에 james@10.10.10.10가 사용되었다. 또한 프로세스의 의심스러운 경로도 확인된다.
aurora-agent와 ssh는 자식-부모 관계를 형성하고 있다.
INTIAL_LANTERN[.]exe의 프로세스를 더 자세히 확인해보도록 하겠다.
Get-FileHash C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe | tee process-file-1.txt
C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe
이전에 진행했던 것과 같이 Hash값과 경로를 확인했다.
Get-FileHash C:\Users\Default\AppData\Local\Temp\jmp.exe
C:\Users\Default User\AppData\Local\Temp\jmp.exe
이제 디렉토리 검사를 진행해줄 것이다. aurora-agent와 ssh에서 수상한 경로는 Temp였다. 이 경로를 조금 더 확인해보기로 했다. \AppData\Local\Temp를 사용한 사용자 정보와 파일 정보를 확인한다.
Default User가 jmp.exe라는 EXE 파일을 사용했다. 이 점에 조금 더 유의한다.
jmp.exe의 hash값을 불러온다.
또한 jmp.exe의 파일 세부 정보도 불러왔다. 그 결과 아까 발견했던 aurora-agent의 OriginalFilename과 완전히 일치하는 x3xv5weg.exe를 확인할 수 있었다! 이로서 jmp.exe도 의심스러운 파일이라는 것이 증명되었다.
이번에는 SpcTmp경로도 다시 한번 확인해본다. 역방향 프록시 유틸리티에 사용되는 잠재 스크립트 Invoke-SocksProxy.pm1이 확인되었다. INITIAL_LANTERN.exe 도 역시 확인되었다.
C: 드라이브가 아닌 문자가 없는 숨겨진 디스크 볼륨이 나타났고, 해당 디스크의 라벨은 Setups이다.
드라이브 이름에 문자를 넣지 않았다는 것은 검사에서 탐지를 숨기기 위한 행동이라고 볼 수 있는 것 같다.
여기까지 따라왔다면 답을 무난하게 입력해볼 수 있다.
이전글이 없습니다.댓글