[Forensics WRITEUP🟪] Windows Incident Surface 라이트업

[ Windows🪟 ]

2024년 08월 08일 04시 30분 56초에 업로드 된 글입니다.

작성자: banda ⠀

🪟Windows Incident Surface

해당 문제의 WriteUp를 작성해볼 것이다.

https://tryhackme.com/r/room/winincidentsurface

openvpn을 통해 kali linux에 vm 배포를 진행해 준비를 완료했다.

이렇게 연결하면 tun0에 tryhackme의 세팅이 나타나는 것을 확인할 수 있다.

칼리 리눅스로부터 windows try hack me 실습환경에 진입했다.

task 3까지는 세팅 및 시나리오 설명 내용이므로 task 4부터 진행하겠다.

해당 명령어를 이용해서 칼리 리눅스 RDP에 접속해주었다.

xfreerdp /u:(username) /p:(password) /v:(Machine IP) /dynamic-resolution

Task 4 Reliability of the System Tools

시스템 도구의 신뢰성

cmd 도구와 ps 도구를 이용해 사용자의 정보를 알아내는 실습이다.

C:\Users\Administrator\Desktop\tools\shells 경로에서 다음과 같은 shells exe를 확인할 수 있었다.

CMD와 PowerShell 두 가지 버전이 있었다.

시스템 도구를 사용해서 10.10.166.79 IP 호스트의 손상된 호스트를 조사하는 것이 시나리오이다.

이번 실습에서는 PowerShell, cmd를 이용해서 사용자의 정보를 탐색하는 것이 목적인 것 같다.

신뢰할 수 있는 명령 쉘이 있는 폴더 경로 C:\Users\Administrator\Desktop\tools\shells가 준비되어 있다.

DFIR은 디지털포렌식 사고대응 용어다. 데이터를 수집하기 위한 툴이라는 것을 알 수 있다.

CMD-DFIR.exe를 관리자 권한으로 실행해서 env_vars.txt를 set, type 해주었다.

잠재적으로 하이재킹된 정보를 찾아내기 위해 필드를 스크린했다.

ComSpec, Path, PSModulePath, Public, TEMP and TMP 가 path hijacking이 많이 일어나는 위치라고 한다.

ComSpec=C:\Windows\system32\cmd.exe

Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Program Files\Amazon\cfn-bootstrap\;C:\Program Files\Aurora-Agent;C:\Program Files\dotnet\;C:\Program Files\TortoiseSVN\bin;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\Scripts\;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps;

PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\AWS Tools\PowerShell\
PUBLIC=C:\Users\Public

TEMP=C:\Users\ADMINI~1\AppData\Local\Temp\2
TMP=C:\Users\ADMINI~1\AppData\Local\Temp\2

sers\Administrator\Desktop\tools\shells>set > env_vars.txt

C:\Users\Administrator\Desktop\tools\shells>type env_vars.txt
ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Administrator\AppData\Roaming
CLIENTNAME=kali
CommonProgramFiles=C:\Program Files\Common Files
CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
CommonProgramW6432=C:\Program Files\Common Files
COMPUTERNAME=CCTL-WS-018-B21
ComSpec=C:\Windows\system32\cmd.exe
DriverData=C:\Windows\System32\Drivers\DriverData
HOMEDRIVE=C:
HOMEPATH=\Users\Administrator
LOCALAPPDATA=C:\Users\Administrator\AppData\Local
LOGONSERVER=\\CCTL-WS-018-B21
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Windows\System32\OpenSSH\;C:\Program Files\Amazon\cfn-bootstrap\;C:\Program Files\Aurora-Agent;C:\Program Files\dotnet\;C:\Program Files\TortoiseSVN\bin;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\Scripts\;C:\Users\Administrator\AppData\Local\Programs\Python\Python310\;C:\Users\Administrator\AppData\Local\Microsoft\WindowsApps;
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PROCESSOR_ARCHITECTURE=AMD64
PROCESSOR_IDENTIFIER=AMD64 Family 23 Model 1 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=23
PROCESSOR_REVISION=0102
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
ProgramFiles(x86)=C:\Program Files (x86)
ProgramW6432=C:\Program Files
PROMPT=$P$G
PSModulePath=C:\Program Files\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules;C:\Program Files (x86)\AWS Tools\PowerShell\
PUBLIC=C:\Users\Public
SESSIONNAME=RDP-Tcp#0
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\ADMINI~1\AppData\Local\Temp\2
TMP=C:\Users\ADMINI~1\AppData\Local\Temp\2
USERDOMAIN=CCTL-WS-018-B21
USERDOMAIN_ROAMINGPROFILE=CCTL-WS-018-B21
USERNAME=Administrator
USERPROFILE=C:\Users\Administrator
windir=C:\Windows

다음과 같은 정보를 알 수 있었다.

PowerShell 경로는 별다른 문제가 보이지 않기때문에 프로필 경로를 확인해주기로 한다.

powershell과 profile.ps1의 절대경로를 where을 이용해서 찾아본다.

이제 powershell과 profile.ps1의 위치 정보를 이용할 수 있게 되었다.

C:\Users\Administrator\Desktop\tools\shells>where powershell.exe
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

C:\Users\Administrator\Desktop\tools\shells>where profile.ps1
C:\Users\Administrator\Desktop\tools\shells\profile.ps1
C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1

profile.ps1에 엑세스가 가능한지 명령어를 입력해본다.

그 다음에는, profile.ps1의 내용을 덤프하고 txt파일을 읽어본다. 이로서 event-triggered execution (ATT&CK ID: 1546.013)를 확인할 수 있었다.

if exist "C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1" (echo PROFILE EXISTS) else (echo PROFILE DOES NOT EXIST)

type "C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1" > ps_profile_dump.txt

PS-DFIR에 엑세스할 때는 따로 실행해도 되지만 cmd창에 PS-DFIR.exe를 입력해줘도 된다.

Get-Module | ft ModuleType, Version, Name | tee ps-mods-loaded-modules.txt

PS-DFIR을 관리자 권한으로 실행하고 Get-Module 명령어를 계속 사용해줄 예정이다.

ft 명령어를 통해 ps 모듈의 ps_ModuleType, Version, Name 정보를 가져온다.

Get-Module -ListAvailable | select ModuleType, Version, Name | tee ps-mods-all.txt

ModuleType Version Name
---------- ------- ----
  Manifest 3.1.0.0 Microsoft.PowerShell.Management
  Manifest 3.1.0.0 Microsoft.PowerShell.Utility
    Script 2.0.0   PSReadline

PS C:\Users\Administrator\Desktop\tools\shells> Get-Module -ListAvailable | select ModuleType, Version, Name | tee ps-mods-all.txt

ModuleType Version   Name
---------- -------   ----
    Script 0.4.7     powershell-yaml
    Script 1.0.1     Microsoft.PowerShell.Operation.Validation
    Binary 1.0.0.1   PackageManagement
    Script 3.4.0     Pester
    Script 1.0.0.1   PowerShellGet
    Script 2.0.0     PSReadline
  Manifest 1.0.1.0   ActiveDirectory
  Manifest 1.0.0.0   AppBackgroundTask
  Manifest 2.0.0.0   AppLocker
  Manifest 1.0.0.0   AppvClient
  Manifest 2.0.1.0   Appx
  Manifest 1.0       BestPractices
  Manifest 2.0.0.0   BitsTransfer
  Manifest 1.0.0.0   BranchCache
  Manifest 1.0.0.0   CimCmdlets
  Manifest 1.0       ConfigCI
  Manifest 1.0       ConfigDefender
  Manifest 1.0       ConfigDefenderPerformance
  Manifest 1.0       Defender
  Manifest 1.0.1.0   DeliveryOptimization
    Binary 2.0.0.0   DFSR
  Manifest 1.0.0.0   DirectAccessClientComponents
    Script 3.0       Dism
  Manifest 1.0.0.0   DnsClient
  Manifest 1.0.0.0   EventTracingManagement
  Manifest 1.0.0.0   GroupPolicy
    Binary 2.0.0.0   Hyper-V
    Binary 1.1       Hyper-V
  Manifest 2.0.0.0   International
  Manifest 1.0.0.0   iSCSI
  Manifest 2.0.0.0   IscsiTarget
    Script 1.0.0.0   ISE
  Manifest 1.0.0.0   Kds
  Manifest 1.0.1.0   Microsoft.PowerShell.Archive
  Manifest 3.0.0.0   Microsoft.PowerShell.Diagnostics
  Manifest 3.0.0.0   Microsoft.PowerShell.Host
  Manifest 1.0.0.0   Microsoft.PowerShell.LocalAccounts
  Manifest 3.1.0.0   Microsoft.PowerShell.Management
    Script 1.0       Microsoft.PowerShell.ODataUtils
  Manifest 3.0.0.0   Microsoft.PowerShell.Security
  Manifest 3.1.0.0   Microsoft.PowerShell.Utility
  Manifest 3.0.0.0   Microsoft.WSMan.Management
  Manifest 1.0       MMAgent
  Manifest 1.0.0.0   MsDtc
  Manifest 2.0.0.0   NetAdapter
  Manifest 1.0.0.0   NetConnection
  Manifest 1.0.0.0   NetDiagnostics
  Manifest 1.0.0.0   NetEventPacketCapture
  Manifest 2.0.0.0   NetLbfo
  Manifest 1.0.0.0   NetNat
  Manifest 2.0.0.0   NetQos
  Manifest 2.0.0.0   NetSecurity
  Manifest 1.0.0.0   NetSwitchTeam
  Manifest 1.0.0.0   NetTCPIP
  Manifest 1.0.0.0   NetWNV
  Manifest 1.0.0.0   NetworkConnectivityStatus
  Manifest 1.0.0.0   NetworkSwitchManager
  Manifest 1.0.0.0   NetworkTransition
  Manifest 1.0       NFS
  Manifest 1.0.0.0   Nps
  Manifest 1.0.0.0   PcsvDevice
    Binary 1.0.0.0   PersistentMemory
  Manifest 1.0.0.0   PKI
  Manifest 1.0.0.0   PlatformIdentifier
  Manifest 1.0.0.0   PnpDevice
  Manifest 1.1       PrintManagement
    Binary 1.0.11    ProcessMitigations
  Manifest 1.1       PSDesiredStateConfiguration
    Script 1.0.0.0   PSDiagnostics
    Binary 1.1.0.0   PSScheduledJob
  Manifest 2.0.0.0   PSWorkflow
  Manifest 1.0.0.0   PSWorkflowUtility
  Manifest 3.0.0.0   RemoteAccess
  Manifest 2.0.0.0   RemoteDesktop
  Manifest 1.0.0.0   ScheduledTasks
  Manifest 2.0.0.0   SecureBoot
  Manifest 1.0.0.0   SecurityCmdlets
    Script 1.0.0.0   ServerCore
    Script 2.0.0.0   ServerManager
       Cim 1.0.0.0   ServerManagerTasks
  Manifest 2.0.0.0   SmbShare
  Manifest 2.0.0.0   SmbWitness
  Manifest 2.0.0.0   SoftwareInventoryLogging
  Manifest 1.0.0.0   StartLayout
  Manifest 2.0.0.0   Storage
  Manifest 1.0.0.0   StorageBusCache
  Manifest 2.0.0.0   TLS
  Manifest 1.0.0.0   TroubleshootingPack
  Manifest 2.0.0.0   TrustedPlatformModule
    Binary 2.1.639.0 UEV
  Manifest 2.0.0.0   UpdateServices
  Manifest 1.0.0.0   UserAccessLogging
  Manifest 2.0.0.0   VpnClient
  Manifest 1.0.0.0   Wdac
  Manifest 2.0.0.0   Whea
  Manifest 1.0.0.0   WindowsDeveloperLicense
    Script 1.0       WindowsErrorReporting
  Manifest 1.0.0.0   WindowsSearch
  Manifest 1.0.0.0   WindowsUpdate
  Manifest 1.0.0.2   WindowsUpdateProvider
    Binary 4.1.9.0   AWSPowerShell


PS C:\Users\Administrator\Desktop\tools\shells>

HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest

탈취당한 정보의 레지스트리 경로는 (HKLM)이라고 적힌 내용을 통해 확인할 수 있었다.

마찬가지로 profile.bak에는 ps_profile_dump.txt와 겹치는 내용들이 적혀있었다.

두 txt, bak 파일에서 log를 지우기 위해 사용된 툴의 이름과 steal하기 위한 레지스트리 경로가 적혀졌다.

Task 5 System Profile

시스템 세부 정보 및 구성 / 시스템 프로필 정보 탐색하기

이곳에서는 네트워크 인터페이스 세부정보, 호스트 네임, OS 버전, 아키텍처 정보, 시스템 시간, 로컬 정책 설정을 확인할 수 있다.

Get-CimInstance win32_networkadapterconfiguration -Filter IPEnabled=TRUE | ft DNSHostname, IPAddress, MACAddress | tee interfaces.txt

사용자의 초기 맥락 정보를 이해하기 위해 시스템 프로필을 확인해야 한다.

먼저 Get-CimInstance를 통해 호스트 네트워크 인터페이스 정보의 IP주소와 IPv4, IPv6, MAC 정보들을 알아볼 수 있는지 확인해보겠다.

Get-CimInstance -ClassName Win32_OperatingSystem | fl CSName, Version, BuildNumber, InstallDate, LastBootUpTime, OSArchitecture | tee sysinfo.txt

해당 명령어는 시간에 대한 정보를 알려준다. InstallDate와 LastBootUpTime은 중요하게 볼 만한 정보인 것 같다.

이때 현재 호스트의 OS 버전과 시스템 관리자의 정보가 일치하지 않는 것같다. (10.0.17763 - 10.0.25398)

이 정보를 바탕으로 다음 정보를 찾아본다.

Get-Date | tee systime.txt ; Get-TimeZone | tee systime.txt -Append

시스템 날짜와 시간 정보를 확인할 수 있는 명령어를 입력해주었다.

Date ID는 Turkey Standard Time을 확인할 수 있다.

System Profile을 통해 알아낸 정보들을 찾아서 입력하면 통과할 수 있었다.

Task 6 Users and Sessions

사용자 및 세션

이곳에서는 로컬 사용자 식별, 그룹 식별, 활성 사용자 세션 식별을 확인할 수 있다.

사용자 계정 로그인, 실행, 프로세스 활동을 발견하고, 이 중 악용된 사용자나 그룹이 있는지 확인해본다.

Get-LocalUser | tee l-users.txt

 Get-CimInstance -Class Win32_UserAccount -Filter "LocalAccount=True" | Format-Table  Name, PasswordRequired, PasswordExpires, PasswordChangeable | Tee-Object "user-details.txt"

사용자 정보를 확인할 수 있다. 이때, Admin 로컬 사용자 계정은 3개 있다는 점에 유의한다.

Guest에서 PasswordRequired가 False이다. 게스트 계정이 페스워드를 요구받지 않는다는 점이 취약하다.

Get-LocalGroup | ForEach-Object { $members = Get-LocalGroupMember -Group $_.Name; if ($members) { Write-Output "`nGroup: $($_.Name)"; $members | ForEach-Object { Write-Output "`tMember: $($_.Name)" } } } | tee gp-members.txt

위에서 봤던 admin 그룹에 있는 member을 확인해준다. 여러 개의 계정이나 admin 그룹의 권한을 가지고 있다. 이 수상한 징후를 유의해서 기억해보아야겠다.

이 다음에는 사용자 세부 정보를 더 알아볼 예정이다.

Guest의 SID넘버와 마지막 로그인 시간을 알아본다.

음 어떤 이유로 PasswordLastSet이 현재 날짜로 나타나는지 잘 모르겠다..

아무튼 Guest 사용자에 대해 더 세부적으로 확인해준 모습이다.

이제 tools의 utils 폴더로 이동해서 명령어를 입력해 정보를 확인해볼 것이다.

Users logged on locally의 8월 8일로 나오면 안되는데 어째서인지 저렇게 나온다..

아무튼 이곳에서는 Administrator과 Guest의 수상한 두 명의 로그인 사용자 로그가 나타난다.

아무래도 Administrator은 우리가 있는 곳이니까 저렇게 출력되는게 맞는 것 같고, Guest에서 수상한 접근이 발견되었다는 점이 유의할만 하다.

마찬가지로 위에서 얻은 정보를 통해 Guest에 관련된 정보와 로그인한 시간대를 입력해본다. 그럼 정답인 것을 알 수 있다.

Task 7 Network Scope

네트워크 범위

네트워크 활성 포트, 연결 정보를 확인하고, 네트워크 위치와 방화벽 규칙을 확인한다.

TCP, UDP에서의 의심스러운 연결을 확인하고, 방화벽에서 예외가 있는 수상한 프로세스 활동을 매핑해본다.

음.. 버퍼사이즈 때문에 텍스트가 일부 생략되어서 나와 우여곡절을 조금 겪었다.

일단 최대한 파워쉘 글자가 모두 출력될 수 있도록 하고 답을 찾아보았다.

TCP-conn.txt를 통해 TCP 활성 포트와 연결을 검토해본다.

INITIAL_LANTERN에서 50119와 8888 포트, 그리고 경로를 확인해보자.

해당 경로에서 시작된 프로세스가 위험하다는 것을 알 수 있다. INITIAL_LANTERN은 악성 프로세스다.

추가로 같은 방식으로 UDP 활동을 검토할 수 있다.

공유된 네트워크 정보를 확인할 수 있는 명령어도 있다.

공유 폴더를 통해 취약점이 나타날 수 있는지 확인해보자.

FirewallProfile은 방화벽 정보를 확인하는 곳이다. 방화벽에서 의도적으로 변경되거나 제작되는 규칙들을 식별한다면,

그것은 매우 중대한 사항이다.

이곳에서 큰 문제점은 나타나지 않는다.

...

이곳에서 방화벽의 빠른 목록을 제공한다. 이 리스트에서 주의해서 확인해봐야할 점은 AnyDesk와 LMV Co.이다.

AnyDesk의 경로와 LMV Co.의 방화벽 규칙을 잘 확인해보자.

추가로, 이 fw rules는 조금 유심히 보아둬야 한다.

나중에 나올 NetSh가 방화벽과 연관되어있으므로, 이 부분을 건들인다는 위험 예측도 해볼 수 있을 것 같다.

위의 자료에 유의해본다면 정답을 입력할 수 있다.

Task 8 Background Activities I: Startup and Registry

스타트업과 레지스트리

Task 8에서는 시작 시퀀스와 레지스트리 세부정보를 확인해본다. 다양한 프로세스를 확인하고 자동 시작 프로그램, 부팅 실행 파일, 부트 파일 등을 파악한다. 모든 파일을 추적하지 않고 수상하게 보여지는 파일들을 중심적으로 검사해보는 접근 방식을 사용해보겠다.

부팅 프로세스에 초점을 맞춘 boot.txt 정보를 사용하여 HKLM 정보를 확인한다. 내용이 상당히 길었던 것으로 기억한다.

연결된 실행 파일, 사용자 계정, 특정 DLL, 레지스트리 등에 대한 자세한 정보를 찾아본다.

해당 세 가지의 내용은 다른 사용자 프로필에 할당되었다는 것을 알 수 있다.

로그온 정보를 확인해보는 명령어를 사용했다. 내용이 좀 길기때문에 나중에 참고해보려고 접은 글에 전체 내용을 달아놓았다. userinit[.]exe파일은 세션을 초기화할 때 기본적으로 사용된다. 추가 실행파일을 가지고 있다면 조금 이례적인 상황이라고 해볼 수 있는 것 같다.

PS C:\Users\Administrator\Desktop\tools\utils> .\autorunsc64.exe -a l * -h | tee logon.txt

Sysinternals Autoruns v14.10 - Autostart program viewer
Copyright (C) 2002-2023 Mark Russinovich
Sysinternals - www.sysinternals.com


HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
   rdpclip
     rdpclip
     RDP Clipboard Monitor
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\system32\rdpclip.exe
     11/27/1964 2:17 PM
     MD5:      BFE0CEE883BD55C7691E7C1027E2332B
     SHA1:     50E594B78FF88CE4E93E7293BBD15AD3C5AB3E5A
     PESHA1:   AC638AA87A8FCF006D24DE029DF4EE04A906B069
     SHA256:   4972CF79E61A6FF0C4EA410D55C7DEB00D7F799EA958946FCC2EE7FABF13FFEB
     PESHA256: 5533D791C16FF754A315497807ECB5707C2437E85C4C8D5BD55A7D3001E76025
     IMPHASH:  E3F33CEBF67721DAC951AFBD20321206

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
   C:\Windows\system32\userinit.exe
     C:\Windows\system32\userinit.exe
     Userinit Logon Application
     Microsoft Corporation
     10.0.17763.1
     c:\windows\system32\userinit.exe
     12/31/1958 2:49 PM
     MD5:      BF8825D08BC235F0609CA8BBEF4E179C
     SHA1:     470C3E60F9B2B6D83F95C7916A5361E34DEC3471
     PESHA1:   DF688108336B5E2AC79D652521CAE6F14BC4D450
     SHA256:   1FE7F7C59EC7EAA276739FA85F7DDA6136D81184E0AEB385B6AC9FEAAA8C4394
     PESHA256: A5160EF5F4B97E938DA7E956A3331FB66EA3F9EA7E7D8BEEF313F318F2C11B98
     IMPHASH:  8419D97ABDFEB6C320F0C39028647572
   cmd.exe
     cmd.exe
     Windows Command Processor
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\system32\cmd.exe
     5/30/2008 3:32 AM
     MD5:      911D039E71583A07320B32BDE22F8E22
     SHA1:     DED8FD7F36417F66EB6ADA10E0C0D7C0022986E9
     PESHA1:   8F4C943F540AB1BFD6DD2A2820FA9EE7794CE550
     SHA256:   BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527
     PESHA256: 5F98D08805D4EEE36337C81914F0D82191A4D58D24EA2FF2E522A95A5D6E5B73
     IMPHASH:  272245E2988E1E430500B852C4FB5E18

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\VmApplet
   SystemPropertiesPerformance.exe
     SystemPropertiesPerformance.exe
     Change Computer Performance Settings
     Microsoft Corporation
     10.0.17763.1
     c:\windows\system32\systempropertiesperformance.exe
     12/27/1907 4:03 AM
     MD5:      AB32E55D2DAC9E9427F89D835054F8D7
     SHA1:     5ED9658FA4DD4D1EC70157F148D4AE7ABDDE4B66
     PESHA1:   284D49497AB1D71F4F6AB471A42B322BA185D5A5
     SHA256:   357BDAD469524CDF42680FF44E17CE41C64B38872C4F55E89DE0560FBD003693
     PESHA256: E0B8AB13E07B8599AE6187EBAE82422D6D9AC879C2264DE3E8E32D1A816A6340
     IMPHASH:  835402499FB5903791DBBE73881263B5

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
   explorer.exe
     explorer.exe
     Windows Explorer
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\explorer.exe
     9/21/2012 3:10 AM
     MD5:      85352486405EFFBAE1240DECDA20C2A0
     SHA1:     6FC4D5F0A813473CC44297EE165355028CE7C090
     PESHA1:   8C3C012F72305B667CC3CC8DC21D8073393D1C14
     SHA256:   E2B62E2A745CA56AA4E2EB7B9369DA7714E481304B29F3DE884369EB27D835D4
     PESHA256: 05E296AC3EDCEA8B93629D1B931F115277FF040D85EF5F0EB0F8ED28A27156BF
     IMPHASH:  3EF052F18C0AF035F409392A87FD0B19

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
   cmd.exe
     cmd.exe
     Windows Command Processor
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\system32\cmd.exe
     5/30/2008 3:32 AM
     MD5:      911D039E71583A07320B32BDE22F8E22
     SHA1:     DED8FD7F36417F66EB6ADA10E0C0D7C0022986E9
     PESHA1:   8F4C943F540AB1BFD6DD2A2820FA9EE7794CE550
     SHA256:   BC866CFCDDA37E24DC2634DC282C7A0E6F55209DA17A8FA105B07414C0E7C527
     PESHA256: 5F98D08805D4EEE36337C81914F0D82191A4D58D24EA2FF2E522A95A5D6E5B73
     IMPHASH:  272245E2988E1E430500B852C4FB5E18

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AlternateShells\AvailableShells
   30000
     cmd.exe /c "cd /d "%USERPROFILE%" & start cmd.exe /k runonce.exe /AlternateShellStartup"
     File not found: cd /d

   60000
     explorer.exe
     Windows Explorer
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\explorer.exe
     9/21/2012 3:10 AM
     MD5:      85352486405EFFBAE1240DECDA20C2A0
     SHA1:     6FC4D5F0A813473CC44297EE165355028CE7C090
     PESHA1:   8C3C012F72305B667CC3CC8DC21D8073393D1C14
     SHA256:   E2B62E2A745CA56AA4E2EB7B9369DA7714E481304B29F3DE884369EB27D835D4
     PESHA256: 05E296AC3EDCEA8B93629D1B931F115277FF040D85EF5F0EB0F8ED28A27156BF
     IMPHASH:  3EF052F18C0AF035F409392A87FD0B19

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   SecurityHealth
     %windir%\system32\SecurityHealthSystray.exe
     Windows Security notification icon
     Microsoft Corporation
     10.0.17763.1
     c:\windows\system32\securityhealthsystray.exe
     7/2/1906 5:12 AM
     MD5:      09F3F2298DDA6EBB57B12C530D35C52C
     SHA1:     D7FC50DC0A08C9EC089E428A03606EE4A2E8C759
     PESHA1:   258864A6871EEA36380479F2885C0B1B327DC455
     SHA256:   48F852164EF4747FCDDFF463034CAD33167E341D241536B122AE74FC8841C941
     PESHA256: 4A942D68E3E6456C8D940B868E8512B01FA753CD662B29F2AFB3ADE88E722092
     IMPHASH:  44315EF1FEB6193B3AB5492033CEFAAE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Startup
   AnyDesk.lnk
     C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk
     AnyDesk
     AnyDesk Software GmbH
     8.0.10.0
     c:\program files (x86)\anydesk\anydesk.exe
     4/24/2024 3:53 PM
     MD5:      AEE6801792D67607F228BE8CEC8291F9
     SHA1:     BF6BA727FF14CA2FDDF619F292D56DB9D9088066
     PESHA1:   83127A3EBEF4B2456465B43B6CF3E8878D3EA080
     SHA256:   1CDAFBE519F60AAADB4A92E266FFF709129F86F0C9EE595C45499C66092E0499
     PESHA256: 7A27A90AFDE3731D85C6A950746A3A5EF5A7321646E8F74679B3D6AD39C28241

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
   Microsoft Windows Media Player
     %SystemRoot%\system32\unregmp2.exe /ShowWMP
     Microsoft Windows Media Player Setup Utility
     Microsoft Corporation
     12.0.17763.1
     c:\windows\system32\unregmp2.exe
     9/30/1990 10:30 AM
     MD5:      9CF8E80F71544316E5F90F2B87F2350C
     SHA1:     5D5BF791D38DF29D52F4585A6853FC8242CDB73C
     PESHA1:   60A53C9A311C3DBB32BC22517FAC97750D01C716
     SHA256:   DF160ACED402899269A07872038E7CEBE64CBB24DD09D8A4474B12AA6F760653
     PESHA256: B05E2B6C7C1DA403546ED91EEAEE303357ED400BFD36E0A36EA175767D41C2F2
     IMPHASH:  1DE1DA351E000239456F4F921473BDC8
   Themes Setup
     themeui.dll
     Windows Theme API
     Microsoft Corporation
     10.0.17763.1697
     c:\windows\system32\themeui.dll
     12/19/1948 5:05 PM
     MD5:      00CA0E4BEC8DD38B6026B431F813B00F
     SHA1:     195BF8AF3659065B24CB0A7603F856311B6C9A72
     PESHA1:   FD56F156F2436321C2D054582B9D7CF9773DDDE2
     SHA256:   CC1BD1B9771E1DC6424F4955FE537A84C215A6B0C4D46D44A33251F8F362CE4A
     PESHA256: 575265F6C1EAFF465D041CEEF954EA2DB4626738342E0DFBA3B5566F856F7138
     IMPHASH:  3377BF4AD60C0566FBECF4212621B1A1
   Microsoft Windows Media Player
     %SystemRoot%\system32\unregmp2.exe /FirstLogon
     Microsoft Windows Media Player Setup Utility
     Microsoft Corporation
     12.0.17763.1
     c:\windows\system32\unregmp2.exe
     9/30/1990 10:30 AM
     MD5:      9CF8E80F71544316E5F90F2B87F2350C
     SHA1:     5D5BF791D38DF29D52F4585A6853FC8242CDB73C
     PESHA1:   60A53C9A311C3DBB32BC22517FAC97750D01C716
     SHA256:   DF160ACED402899269A07872038E7CEBE64CBB24DD09D8A4474B12AA6F760653
     PESHA256: B05E2B6C7C1DA403546ED91EEAEE303357ED400BFD36E0A36EA175767D41C2F2
     IMPHASH:  1DE1DA351E000239456F4F921473BDC8
   Windows Desktop Update
     shell32.dll
     Windows Shell Common Dll
     Microsoft Corporation
     10.0.17763.1790
     c:\windows\system32\shell32.dll
     3/3/2006 6:59 AM
     MD5:      1B9EE5E4CEDD2F92BEF642FB702D6D69
     SHA1:     2A8CAD3EA362363DBC8DD0B5EC85C81E2729A362
     PESHA1:   AC500D1C23DD77B5654AE07EF3DCE4A24ABA1196
     SHA256:   79A2D653304A352E6BCF7E33E0C3EC42B5A629505DF09D40432F5F4094872A1A
     PESHA256: 00D718B7A32FF336FF493B8EDCCAE41303B400EC00BD512225A48019A9BD5ADA
     IMPHASH:  4C6A425B69AD3E18ACE611520E54E884
   Web Platform Customizations
     C:\Windows\System32\ie4uinit.exe -UserConfig
     IE Per-User Initialization Utility
     Microsoft Corporation
     11.0.17763.652
     c:\windows\system32\ie4uinit.exe
     7/11/1981 12:04 AM
     MD5:      A52B135E1865F98C90BF23B3807E51C0
     SHA1:     BF142E7FA17591BAF7D97E342781C8BCA8545C63
     PESHA1:   5F223F5350D78F32C311B521A04233DF8966A9D9
     SHA256:   46A3D721ADB36114A5141E5795E4DFC02644FDF8F6C602BCCFDC057784F29DB0
     PESHA256: 12C51A253AD15B14BA64730360801B3A1D5DCF8DCB82C9C9ACA996852D2692DB
     IMPHASH:  B898E7CB8AA65CE3FA6187EE093D7F6B
   n/a
     C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install
     Microsoft .NET IE SECURITY REGISTRATION
     Microsoft Corporation
     2.0.50727.9031
     c:\windows\system32\mscories.dll
     8/8/2018 6:18 AM
     MD5:      55E13DD52266781390123239FCB59E7B
     SHA1:     91037E05C0F49595C230E26789A936CF492FF830
     PESHA1:   9CA91E3C8E0008B1DEB963FEBEB03DD323B4E111
     SHA256:   B2E30D3E728A1960F7C847C2E3B0EB616F56D309359796D543EB910B8DF07CA5
     PESHA256: B5899C49522601181D36D9FBF8DD4EC6366B41CA9D81E70002F5D4EC22939468
     IMPHASH:  AB8FA7A93A14C9EDE0B84EB9ECAFBAC2
   Google Chrome
     "C:\Program Files\Google\Chrome\Application\126.0.6478.114\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --channel=stable
     Google Chrome Installer
     Google LLC
     126.0.6478.114
     c:\program files\google\chrome\application\126.0.6478.114\installer\chrmstp.exe
     6/17/2024 11:55 PM
     MD5:      36F9F0B7186D6D8E52ED2A794D3A0CE1
     SHA1:     5C79C4E65581239412BF19C0B2C8C27B94A866E6
     PESHA1:   6ABCAF28B9FA3438564703FFBA57D41E8F06DD67
     SHA256:   40C45622685F5F54588D5C397B7FB8FC509AC9F8446B0963AF314A541F18A69E
     PESHA256: 648721845B8F523CD8ADA22E899B48FD363A808B5D35D9084EC3529CF8D14D61
     IMPHASH:  5EE2AB762FA8D4FC5F9A047C2ED853EA
   Applying Enhanced Security Configuration
     "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iesetup.dll",IEHardenAdmin
     IOD Version Map
     Microsoft Corporation
     11.0.17763.1
     c:\windows\system32\iesetup.dll
     4/26/1955 4:49 AM
     MD5:      06D9E39994E9CB486B07E05CAAC321C1
     SHA1:     CB8936D04D9A992163B8F236EFC3B8BAFD4F26D3
     PESHA1:   73268C53C41034163A91399059DA2B30E892DCDE
     SHA256:   BE2C5ADB7445D8102848E51BF77A03C7A731C456F241C2A0B39CC852DEE5CD97
     PESHA256: B90BA7691A93810CBD2D099A0971A7B0AF4EE1360FEEC084937C5CDA5E885D7E
     IMPHASH:  FFD26F19E29CEF9F551DED1D2FA50CF8
   Applying Enhanced Security Configuration
     "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iesetup.dll",IEHardenUser
     IOD Version Map
     Microsoft Corporation
     11.0.17763.1
     c:\windows\system32\iesetup.dll
     4/26/1955 4:49 AM
     MD5:      06D9E39994E9CB486B07E05CAAC321C1
     SHA1:     CB8936D04D9A992163B8F236EFC3B8BAFD4F26D3
     PESHA1:   73268C53C41034163A91399059DA2B30E892DCDE
     SHA256:   BE2C5ADB7445D8102848E51BF77A03C7A731C456F241C2A0B39CC852DEE5CD97
     PESHA256: B90BA7691A93810CBD2D099A0971A7B0AF4EE1360FEEC084937C5CDA5E885D7E
     IMPHASH:  FFD26F19E29CEF9F551DED1D2FA50CF8

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
   Microsoft Windows Media Player
     %SystemRoot%\system32\unregmp2.exe /ShowWMP
     Microsoft Windows Media Player Setup Utility
     Microsoft Corporation
     12.0.17763.1
     c:\windows\syswow64\unregmp2.exe
     1/3/2036 12:22 PM
     MD5:      33A85B3DCFFEADA67C98EAC342B93DCB
     SHA1:     33856AD378DB2ECEAEF0C7F4817995A277F25592
     PESHA1:   34E5C7262181A1476F88271FA43385C7BAB7F6CD
     SHA256:   1DF2F5FC3369F5901068AD9463D7A165FD8E7EE7A12CA6C1A88992BB1484632E
     PESHA256: F78219179657C76950961DE298BE9A5875E7A643646F21DD533DDDA1FA319067
     IMPHASH:  567DEBB2A156B506ED421C435F1B2E33
   Microsoft Windows Media Player
     %SystemRoot%\system32\unregmp2.exe /FirstLogon
     Microsoft Windows Media Player Setup Utility
     Microsoft Corporation
     12.0.17763.1
     c:\windows\syswow64\unregmp2.exe
     1/3/2036 12:22 PM
     MD5:      33A85B3DCFFEADA67C98EAC342B93DCB
     SHA1:     33856AD378DB2ECEAEF0C7F4817995A277F25592
     PESHA1:   34E5C7262181A1476F88271FA43385C7BAB7F6CD
     SHA256:   1DF2F5FC3369F5901068AD9463D7A165FD8E7EE7A12CA6C1A88992BB1484632E
     PESHA256: F78219179657C76950961DE298BE9A5875E7A643646F21DD533DDDA1FA319067
     IMPHASH:  567DEBB2A156B506ED421C435F1B2E33
   n/a
     C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
     Microsoft .NET IE SECURITY REGISTRATION
     Microsoft Corporation
     2.0.50727.9031
     8/8/2018 6:28 AM
     MD5:      7A0B0FBB84ADECDCDF8DBAE89298B3DE
     SHA1:     4C2EFC4FE459CBF8D9B7784815169769A221E1DF
     PESHA1:   B3AAF6C889C93561075CFBC96080B4C6C57F3229
     SHA256:   6B46626A1EEF501F527160B10675862368887258766EFE8CEFAAE1E13C88B887
     IMPHASH:  08A027E94DD9452BDF5B6AF03B573759

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib
   IconCodecService.dll
     IconCodecService.dll
     Converts a PNG part of the icon to a legacy bmp icon
     Microsoft Corporation
     10.0.17763.1
     c:\windows\system32\iconcodecservice.dll
     5/9/1956 3:37 AM
     MD5:      6B67CE980C9D91D60015E0CB12945A04
     SHA1:     C3139884E31F50184C6C33B429B1260460562316
     SHA256:   80621FCB7C569830404A0355C57B35FDEDB9E74B773B539E84AC3674C8283705
     PESHA256: B979B6A3F3380266FBD05320B8BE935A78DE123DAA6C50B61AC4FFB8F808DCEC
     IMPHASH:  BC4916A3897FAE424D0E5B39B694361B

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
   RunWallpaperSetup.cmd
     C:\Users\Adminstrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RunWallpaperSetup.cmd
     c:\users\adminstrator\appdata\roaming\microsoft\windows\start menu\programs\startup\runwallpapersetup.cmd
     2/27/2024 2:45 PM
     MD5:      FA9D7A03029739B5B2001E922E850A64
     SHA1:     05276AE99DCAF6C6F1B9765EF8A035AA86060B86
     PESHA1:   05276AE99DCAF6C6F1B9765EF8A035AA86060B86
     SHA256:   73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7
     PESHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup
   RunWallpaperSetup.cmd
     C:\Users\Guest\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RunWallpaperSetup.cmd
     c:\users\guest\appdata\roaming\microsoft\windows\start menu\programs\startup\runwallpapersetup.cmd
     2/28/2024 10:58 AM
     MD5:      FA9D7A03029739B5B2001E922E850A64
     SHA1:     05276AE99DCAF6C6F1B9765EF8A035AA86060B86
     PESHA1:   05276AE99DCAF6C6F1B9765EF8A035AA86060B86
     SHA256:   73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7
     PESHA256: 73BA33FE75051877AFED93B3644B9B824E82E68E2A11EA1694A445EB4A5EBFD7

주의깊게 확인해보라고 제시된 점은 cmd.exe 파일과 userinit.exe다.

왜 주의를 기울여야 하는지 조금 더 알 것 같다. Winlogon 과정에서 보통은 userinit.exe만을 기본적으로 사용하지만, cmd.exe가 함께 실행 프로세스로 제시되었기 때문이다. 일단은 이 부분을 중요하게 둘 만한 정보로 기록해둔다.

그러므로 Winlogon에 대한 정보를 조금 더 확인해주었다.

userinit 키에는 두 개의 값이 포함되어 있다.

cmd.exe에

"start /min netsh.exe -c"

이런 내용이 있다. 그런데 cmd로 netsh.exe를 굳이 조용히 시작할 필요가 있을까..? 수상하다. 여기서 실행 파일이 사용자 몰래 실행된다면 그건 확실히 의심스럽다. 이 활동을 조금 더 추적해볼 수 있을 것 같다. netsh.exe에 대해서도 좀 더 알아볼 수 있었으면 좋겠다.

사용자가 로그인을 했을 때 자동으로 시작되어야 하는 프로그램과 기본 위치를 살펴보는 정보를 읽어보겠다.

CurrentVersion\Run

해당 위치를 나타내고 있다. 그렇다면 NetSH는?

NetSh는 사용자의 눈에 띄지 않는 곳에서 잠재적인 활동을 하고있다. netshell 실행 파일은 dll을 로드하고 있다.

여기서 눈에 띄는 dll 명은 .\fwshield.dll이다. 일관적이지 않은 다른 항목을 발견할 수 있다.

뭔가 방화벽 규칙에 관련된 정보를 파악했을 때 NetSh가 잠재적으로 실행될 위험이 있는 것 같다.

Task 9 Background Activities II: Services and Scheduled Items

서비스, 예약된 항목

이 실습에서는 백그라운드에서 작동하는 지속적인 사용 서비스 패턴을 확인해보게 된다. 순서에 따라 서비스와 예약된 작업이 잘 진행되고 있는지 식별해내는 것이 중요한 시스템의 과정이다. 특정한 프로세스의 시작 순서가 수상하지는 않은지, 실행 중인 서비스에 이상은 없는지 확인해봐야 한다.

"Running Services:"; Get-CimInstance -ClassName Win32_Service | 
Where-Object { $_.State -eq "Running" } | 
Select-Object Name, DisplayName, State, StartMode, PathName, ProcessId | 
ft -AutoSize | tee services-active.txt

다음은 실행 중인 프로세스 정보를 나열하는 명령어를 입력한 것이다. State, StartMode, PathName, ProcessId 정보는 이상이 있는 정보를 확인하고 검사할 때 유용한 부분이 될 수 있다.

PS C:\Users\Administrator\Desktop\tools\utils> "Running Services:"; Get-CimInstance -ClassName Win32_Service | Where-Object { $_.State -eq "Running" } | Select-Object Name, DisplayName, State, StartMode, PathName, ProcessId | ft -AutoSize | tee services-active.txt
Running Services:

Name                   DisplayName                                      State   StartMode PathName                                                                        ProcessId
----                   -----------                                      -----   --------- --------                                                                        ---------
AmazonSSMAgent         Amazon SSM Agent                                 Running Auto      "C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe"                                   3488
AnyDesk                AnyDesk Service                                  Running Auto      "C:\Program Files (x86)\AnyDesk\AnyDesk.exe" --service                               1904
BFE                    Base Filtering Engine                            Running Auto      C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p                  1308
BrokerInfrastructure   Background Tasks Infrastructure Service          Running Auto      C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
CDPSvc                 Connected Devices Platform Service               Running Auto      C:\Windows\system32\svchost.exe -k LocalService -p                                   1116
CertPropSvc            Certificate Propagation                          Running Manual    C:\Windows\system32\svchost.exe -k netsvcs                                           1472
CoreMessagingRegistrar CoreMessaging                                    Running Auto      C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork -p                          1572
CryptSvc               Cryptographic Services                           Running Auto      C:\Windows\system32\svchost.exe -k NetworkService -p                                 1176
DcomLaunch             DCOM Server Process Launcher                     Running Auto      C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
Dhcp                   DHCP Client                                      Running Auto      C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p                  1064
Dnscache               DNS Client                                       Running Auto      C:\Windows\system32\svchost.exe -k NetworkService -p                                 1176
DPS                    Diagnostic Policy Service                        Running Auto      C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p                          1572
DsmSvc                 Device Setup Manager                             Running Manual    C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
DsSvc                  Data Sharing Service                             Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
EventLog               Windows Event Log                                Running Auto      C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p                  1064
EventSystem            COM+ Event System                                Running Auto      C:\Windows\system32\svchost.exe -k LocalService -p                                   1116
FontCache              Windows Font Cache Service                       Running Auto      C:\Windows\system32\svchost.exe -k LocalService -p                                   1116
gpsvc                  Group Policy Client                              Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
IKEEXT                 IKE and AuthIP IPsec Keying Modules              Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
iphlpsvc               IP Helper                                        Running Auto      C:\Windows\System32\svchost.exe -k NetSvcs -p                                         952
KeyIso                 CNG Key Isolation                                Running Manual    C:\Windows\system32\lsass.exe                                                         644
LanmanServer           Server                                           Running Auto      C:\Windows\System32\svchost.exe -k smbsvcs                                           2036
LanmanWorkstation      Workstation                                      Running Auto      C:\Windows\System32\svchost.exe -k NetworkService -p                                 1176
LicenseManager         Windows License Manager Service                  Running Manual    C:\Windows\System32\svchost.exe -k LocalService -p                                   1116
lmhosts                TCP/IP NetBIOS Helper                            Running Manual    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p                  1064
LMVCSS                 Less Murphy Ventures Service Shield              Running Auto      C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe                            1972
LSM                    Local Session Manager                            Running Auto      C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
mpssvc                 Windows Defender Firewall                        Running Auto      C:\Windows\system32\svchost.exe -k LocalServiceNoNetworkFirewall -p                  1308
MSDTC                  Distributed Transaction Coordinator              Running Auto      C:\Windows\System32\msdtc.exe                                                         356
NcbService             Network Connection Broker                        Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
netprofm               Network List Service                             Running Manual    C:\Windows\System32\svchost.exe -k LocalService -p                                   1116
NlaSvc                 Network Location Awareness                       Running Auto      C:\Windows\System32\svchost.exe -k NetworkService -p                                 1176
nsi                    Network Store Interface Service                  Running Auto      C:\Windows\system32\svchost.exe -k LocalService -p                                   1116
PcaSvc                 Program Compatibility Assistant Service          Running Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
PlugPlay               Plug and Play                                    Running Manual    C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
PolicyAgent            IPsec Policy Agent                               Running Manual    C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted -p                1436
Power                  Power                                            Running Auto      C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
ProfSvc                User Profile Service                             Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
RasMan                 Remote Access Connection Manager                 Running Auto      C:\Windows\System32\svchost.exe -k netsvcs                                           1472
RpcEptMapper           RPC Endpoint Mapper                              Running Auto      C:\Windows\system32\svchost.exe -k RPCSS -p                                           864
RpcSs                  Remote Procedure Call (RPC)                      Running Auto      C:\Windows\system32\svchost.exe -k rpcss -p                                           864
SamSs                  Security Accounts Manager                        Running Auto      C:\Windows\system32\lsass.exe                                                         644
Schedule               Task Scheduler                                   Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
SENS                   System Event Notification Service                Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
SessionEnv             Remote Desktop Configuration                     Running Manual    C:\Windows\System32\svchost.exe -k netsvcs -p                                         952
ShellHWDetection       Shell Hardware Detection                         Running Auto      C:\Windows\System32\svchost.exe -k netsvcs -p                                         952
Spooler                Print Spooler                                    Running Auto      C:\Windows\System32\spoolsv.exe                                                      1540
SstpSvc                Secure Socket Tunneling Protocol Service         Running Manual    C:\Windows\system32\svchost.exe -k LocalService -p                                   1116
StateRepository        State Repository Service                         Running Manual    C:\Windows\system32\svchost.exe -k appmodel -p                                       3904
StorSvc                Storage Service                                  Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
SysMain                SysMain                                          Running Auto      C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
Sysmon                 Sysmon                                           Running Auto      C:\Windows\Sysmon.exe                                                                1912
SystemEventsBroker     System Events Broker                             Running Auto      C:\Windows\system32\svchost.exe -k DcomLaunch -p                                      748
TabletInputService     Touch Keyboard and Handwriting Panel Service     Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
TermService            Remote Desktop Services                          Running Manual    C:\Windows\System32\svchost.exe -k termsvcs                                           960
Themes                 Themes                                           Running Auto      C:\Windows\System32\svchost.exe -k netsvcs -p                                         952
TimeBrokerSvc          Time Broker                                      Running Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p                  1064
TokenBroker            Web Account Manager                              Running Manual    C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
TrkWks                 Distributed Link Tracking Client                 Running Auto      C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
UALSVC                 User Access Logging Service                      Running Auto      C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
UmRdpService           Remote Desktop Services UserMode Port Redirector Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
UserManager            User Manager                                     Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
UsoSvc                 Update Orchestrator Service                      Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
W32Time                Windows Time                                     Running Auto      C:\Windows\system32\svchost.exe -k LocalService                                      1800
Wcmsvc                 Windows Connection Manager                       Running Auto      C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p                  1168
WdiSystemHost          Diagnostic System Host                           Running Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p                    264
WinDefend              Windows Defender Antivirus Service               Running Auto      "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24050.7-0\MsMpEng.exe"      1944
WinHttpAutoProxySvc    WinHTTP Web Proxy Auto-Discovery Service         Running Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p                  1064
Winmgmt                Windows Management Instrumentation               Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
WinRM                  Windows Remote Management (WS-Management)        Running Auto      C:\Windows\System32\svchost.exe -k NetworkService -p                                 1176
WpnService             Windows Push Notifications System Service        Running Auto      C:\Windows\system32\svchost.exe -k netsvcs -p                                         952
WSearch                Windows Search                                   Running Auto      C:\Windows\system32\SearchIndexer.exe /Embedding                                     4680
CDPUserSvc_367238      Connected Devices Platform User Service_367238   Running Auto      C:\Windows\system32\svchost.exe -k UnistackSvcGroup                                  1036
WpnUserService_367238  Windows Push Notifications User Service_367238   Running Auto      C:\Windows\system32\svchost.exe -k UnistackSvcGroup                                  1036

LMVCSS
C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe

실행 중인 프로세스에서 LMVCSS 목록을 확인했을 때 수상한 경로를 확인했다.

앞서 앞에서 진행 중인 실습에서 INITIAL_LANTERN.exe 악성 프로세스를 확인했었는데, LMVCSS는 이 경로를 나타내고 있다. 따라서 LMVCSS는 조금 더 분석해볼만 하다.

E9AA7564B2D1D612479E193A9F8CB70DF9CFBE02A39900EEE22FE266F5320EBF

LMVCSS는 아마도 악성 프로세스의 지속성을 위해 서비스의 형태로 주어져있음을 예측해볼 수 있겠다.

LMVCSS 경로의 Hash값을 확인해보기 위해 다음과 같은 명령어를 입력해 세부정보를 출력한다.

aurora-agent           Aurora Agent                                  Stopped Auto      "C:\Program Files\Aurora-Agent\aurora-agent-64.exe" --service --config "C:\P...

C:\Program Files\Aurora-Agent\aurora-agent-64.exe

Aurora Agent는 Non-Running-Service로서 실행 중이 아니다.

시작 모드가 Auto로 설정되어있지만 보안 서비스인 Aurora Agent가 실행하지 않는다는 점은 더 알아볼 만하다.

이 Aurora Agent를 유심히 살펴보며 Hash값과 각종 정보들을 확인해보려고 한다.

Name                   DisplayName                                   State   StartMode PathName
----                   -----------                                   -----   --------- --------
AJRouter               AllJoyn Router Service                        Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p
ALG                    Application Layer Gateway Service             Stopped Manual    C:\Windows\System32\alg.exe
AppIDSvc               Application Identity                          Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p
Appinfo                Application Information                       Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
AppMgmt                Application Management                        Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
AppReadiness           App Readiness                                 Stopped Manual    C:\Windows\System32\svchost.exe -k AppReadiness -p
AppVClient             Microsoft App-V Client                        Stopped Disabled  C:\Windows\system32\AppVClient.exe
AppXSvc                AppX Deployment Service (AppXSVC)             Stopped Manual    C:\Windows\system32\svchost.exe -k wsappx -p
AudioEndpointBuilder   Windows Audio Endpoint Builder                Stopped Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p
Audiosrv               Windows Audio                                 Stopped Manual    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p
aurora-agent           Aurora Agent                                  Stopped Auto      "C:\Program Files\Aurora-Agent\aurora-agent-64.exe" --service --config "C:\P...
AWSLiteAgent           AWS Lite Guest Agent                          Stopped Auto      "C:\Program Files\Amazon\XenTools\LiteAgent.exe"
AxInstSV               ActiveX Installer (AxInstSV)                  Stopped Disabled  C:\Windows\system32\svchost.exe -k AxInstSVGroup
BITS                   Background Intelligent Transfer Service       Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
BTAGService            Bluetooth Audio Gateway Service               Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
BthAvctpSvc            AVCTP service                                 Stopped Manual    C:\Windows\system32\svchost.exe -k LocalService -p
bthserv                Bluetooth Support Service                     Stopped Manual    C:\Windows\system32\svchost.exe -k LocalService -p
camsvc                 Capability Access Manager Service             Stopped Manual    C:\Windows\system32\svchost.exe -k appmodel -p
cfn-hup                CloudFormation cfn-hup                        Stopped Manual    "C:\Program Files\Amazon\cfn-bootstrap\winhup.exe"
ClipSVC                Client License Service (ClipSVC)              Stopped Manual    C:\Windows\System32\svchost.exe -k wsappx -p
COMSysApp              COM+ System Application                       Stopped Manual    C:\Windows\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC7...
CscService             Offline Files                                 Stopped Disabled  C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p
defragsvc              Optimize drives                               Stopped Manual    C:\Windows\system32\svchost.exe -k defragsvc
DeviceAssociationSe... Device Association Service                    Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
DeviceInstall          Device Install Service                        Stopped Manual    C:\Windows\system32\svchost.exe -k DcomLaunch -p
DevQueryBroker         DevQuery Background Discovery Broker          Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
diagnosticshub.stan...                                               Stopped Manual    C:\Windows\system32\DiagSvcs\DiagnosticsHub.StandardCollector.Service.exe
DiagTrack              Connected User Experiences and Telemetry      Stopped Disabled  C:\Windows\System32\svchost.exe -k utcsvc -p
DmEnrollmentSvc        Device Management Enrollment Service          Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
dmwappushservice                                                     Stopped Disabled  C:\Windows\system32\svchost.exe -k netsvcs -p
DoSvc                  Delivery Optimization                         Stopped Auto      C:\Windows\System32\svchost.exe -k NetworkService -p
dot3svc                Wired AutoConfig                              Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
Eaphost                Extensible Authentication Protocol            Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
EFS                    Encrypting File System (EFS)                  Stopped Manual    C:\Windows\System32\lsass.exe
embeddedmode           Embedded Mode                                 Stopped Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p
EntAppSvc              Enterprise App Management Service             Stopped Manual    C:\Windows\system32\svchost.exe -k appmodel -p
fdPHost                Function Discovery Provider Host              Stopped Manual    C:\Windows\system32\svchost.exe -k LocalService -p
FDResPub               Function Discovery Resource Publication       Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p
FrameServer            Windows Camera Frame Server                   Stopped Manual    C:\Windows\System32\svchost.exe -k Camera
GoogleChromeElevati...                                               Stopped Manual    "C:\Program Files\Google\Chrome\Application\126.0.6478.114\elevation_service...
GoogleUpdaterIntern...                                               Stopped Auto      "C:\Program Files (x86)\Google\GoogleUpdater\128.0.6537.0\updater.exe" --sys...
GoogleUpdaterServic...                                               Stopped Auto      "C:\Program Files (x86)\Google\GoogleUpdater\128.0.6537.0\updater.exe" --sys...
GraphicsPerfSvc        GraphicsPerfSvc                               Stopped Disabled  C:\Windows\System32\svchost.exe -k GraphicsPerfSvcGroup
hidserv                Human Interface Device Service                Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
HvHost                 HV Host Service                               Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
icssvc                 Windows Mobile Hotspot Service                Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p
InstallService         Microsoft Store Install Service               Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
KPSSVC                 KDC Proxy Server service (KPS)                Stopped Manual    C:\Windows\system32\svchost.exe -k KpsSvcGroup
KtmRm                  KtmRm for Distributed Transaction Coordinator Stopped Manual    C:\Windows\System32\svchost.exe -k NetworkServiceAndNoImpersonation -p
lfsvc                  Geolocation Service                           Stopped Disabled  C:\Windows\system32\svchost.exe -k netsvcs -p
lltdsvc                Link-Layer Topology Discovery Mapper          Stopped Disabled  C:\Windows\System32\svchost.exe -k LocalService -p
MapsBroker             Downloaded Maps Manager                       Stopped Disabled  C:\Windows\System32\svchost.exe -k NetworkService -p
MSiSCSI                Microsoft iSCSI Initiator Service             Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
msiserver              Windows Installer                             Stopped Manual    C:\Windows\system32\msiexec.exe /V
NcaSvc                 Network Connectivity Assistant                Stopped Manual    C:\Windows\System32\svchost.exe -k NetSvcs -p
Netlogon               Netlogon                                      Stopped Manual    C:\Windows\system32\lsass.exe
Netman                 Network Connections                           Stopped Manual    C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p
NetSetupSvc            Network Setup Service                         Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
NetTcpPortSharing      Net.Tcp Port Sharing Service                  Stopped Disabled  C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SMSvcHost.exe
NgcCtnrSvc             Microsoft Passport Container                  Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p
NgcSvc                 Microsoft Passport                            Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
PerfHost               Performance Counter DLL Host                  Stopped Manual    C:\Windows\SysWow64\perfhost.exe
PhoneSvc               Phone Service                                 Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalService -p
pla                    Performance Logs & Alerts                     Stopped Manual    C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p
PrintNotify            Printer Extensions and Notifications          Stopped Manual    C:\Windows\system32\svchost.exe -k print
PushToInstall          Windows PushToInstall Service                 Stopped Disabled  C:\Windows\System32\svchost.exe -k netsvcs -p
QWAVE                  Quality Windows Audio Video Experience        Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p
RasAuto                Remote Access Auto Connection Manager         Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
RemoteAccess           Routing and Remote Access                     Stopped Disabled  C:\Windows\System32\svchost.exe -k netsvcs
RemoteRegistry         Remote Registry                               Stopped Auto      C:\Windows\system32\svchost.exe -k localService -p
RmSvc                  Radio Management Service                      Stopped Disabled  C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
RpcLocator             Remote Procedure Call (RPC) Locator           Stopped Manual    C:\Windows\system32\locator.exe
RSoPProv               Resultant Set of Policy Provider              Stopped Manual    C:\Windows\system32\RSoPProv.exe
sacsvr                 Special Administration Console Helper         Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
SCardSvr               Smart Card                                    Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
ScDeviceEnum           Smart Card Device Enumeration Service         Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
SCPolicySvc            Smart Card Removal Policy                     Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs
seclogon               Secondary Logon                               Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
SecurityHealthService  Windows Security Service                      Stopped Manual    C:\Windows\system32\SecurityHealthService.exe
SEMgrSvc               Payments and NFC/SE Manager                   Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalService -p
Sense                                                                Stopped Manual    "C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe"
SensorDataService      Sensor Data Service                           Stopped Disabled  C:\Windows\System32\SensorDataService.exe
SensorService          Sensor Service                                Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
SensrSvc               Sensor Monitoring Service                     Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p
SgrmBroker             System Guard Runtime Monitor Broker           Stopped Manual    C:\Windows\system32\SgrmBroker.exe
SharedAccess           Internet Connection Sharing (ICS)             Stopped Disabled  C:\Windows\System32\svchost.exe -k netsvcs -p
shpamsvc               Shared PC Account Manager                     Stopped Disabled  C:\Windows\System32\svchost.exe -k netsvcs -p
smphost                Microsoft Storage Spaces SMP                  Stopped Manual    C:\Windows\System32\svchost.exe -k smphost
SNMPTRAP               SNMP Trap                                     Stopped Manual    C:\Windows\System32\snmptrap.exe
sppsvc                 Software Protection                           Stopped Auto      C:\Windows\system32\sppsvc.exe
SSDPSRV                SSDP Discovery                                Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p
ssh-agent              OpenSSH Authentication Agent                  Stopped Disabled  C:\Windows\System32\OpenSSH\ssh-agent.exe
stisvc                 Windows Image Acquisition (WIA)               Stopped Manual    C:\Windows\system32\svchost.exe -k imgsvc
svsvc                  Spot Verifier                                 Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
swprv                  Microsoft Software Shadow Copy Provider       Stopped Manual    C:\Windows\System32\svchost.exe -k swprv
tapisrv                Telephony                                     Stopped Manual    C:\Windows\System32\svchost.exe -k NetworkService -p
TieringEngineService   Storage Tiers Management                      Stopped Manual    C:\Windows\system32\TieringEngineService.exe
TrustedInstaller       Windows Modules Installer                     Stopped Manual    C:\Windows\servicing\TrustedInstaller.exe
tzautoupdate           Auto Time Zone Updater                        Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalService -p
UevAgentService        User Experience Virtualization Service        Stopped Disabled  C:\Windows\system32\AgentService.exe
upnphost               UPnP Device Host                              Stopped Disabled  C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p
VaultSvc               Credential Manager                            Stopped Manual    C:\Windows\system32\lsass.exe
vds                    Virtual Disk                                  Stopped Manual    C:\Windows\System32\vds.exe
vmicguestinterface     Hyper-V Guest Service Interface               Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
vmicheartbeat          Hyper-V Heartbeat Service                     Stopped Manual    C:\Windows\system32\svchost.exe -k ICService -p
vmickvpexchange        Hyper-V Data Exchange Service                 Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
vmicrdv                Hyper-V Remote Desktop Virtualization Service Stopped Manual    C:\Windows\system32\svchost.exe -k ICService -p
vmicshutdown           Hyper-V Guest Shutdown Service                Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
vmictimesync           Hyper-V Time Synchronization Service          Stopped Manual    C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p
vmicvmsession          Hyper-V PowerShell Direct Service             Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
vmicvss                Hyper-V Volume Shadow Copy Requestor          Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
VSS                    Volume Shadow Copy                            Stopped Manual    C:\Windows\system32\vssvc.exe
WaaSMedicSvc           Windows Update Medic Service                  Stopped Manual    C:\Windows\system32\svchost.exe -k wusvcs -p
WalletService          WalletService                                 Stopped Disabled  C:\Windows\System32\svchost.exe -k appmodel -p
WarpJITSvc             WarpJITSvc                                    Stopped Manual    C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
WbioSrvc               Windows Biometric Service                     Stopped Manual    C:\Windows\system32\svchost.exe -k WbioSvcGroup
WdiServiceHost         Diagnostic Service Host                       Stopped Manual    C:\Windows\System32\svchost.exe -k LocalService -p
WdNisSvc                                                             Stopped Manual    "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24050.7-0\NisSrv.exe"
Wecsvc                 Windows Event Collector                       Stopped Manual    C:\Windows\system32\svchost.exe -k NetworkService -p
WEPHOSTSVC             Windows Encryption Provider Host Service      Stopped Manual    C:\Windows\system32\svchost.exe -k WepHostSvcGroup
wercplsupport                                                        Stopped Manual    C:\Windows\System32\svchost.exe -k netsvcs -p
WerSvc                 Windows Error Reporting Service               Stopped Manual    C:\Windows\System32\svchost.exe -k WerSvcGroup
WiaRpc                 Still Image Acquisition Events                Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted -p
wisvc                  Windows Insider Service                       Stopped Disabled  C:\Windows\system32\svchost.exe -k netsvcs -p
wlidsvc                Microsoft Account Sign-in Assistant           Stopped Manual    C:\Windows\system32\svchost.exe -k netsvcs -p
wmiApSrv               WMI Performance Adapter                       Stopped Manual    C:\Windows\system32\wbem\WmiApSrv.exe
WMPNetworkSvc          Windows Media Player Network Sharing Service  Stopped Manual    "C:\Program Files\Windows Media Player\wmpnetwk.exe"
WPDBusEnum             Portable Device Enumerator Service            Stopped Manual    C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted
CaptureService_4d465   CaptureService_4d465                          Stopped Manual    C:\Windows\system32\svchost.exe -k LocalService -p
cbdhsvc_4d465          Clipboard User Service_4d465                  Stopped Manual    C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p
CDPUserSvc_4d465       Connected Devices Platform User Service_4d465 Stopped Auto      C:\Windows\system32\svchost.exe -k UnistackSvcGroup
ConsentUxUserSvc_4d465 ConsentUX_4d465                               Stopped Manual    C:\Windows\system32\svchost.exe -k DevicesFlow
DevicePickerUserSvc... DevicePicker_4d465                            Stopped Disabled  C:\Windows\system32\svchost.exe -k DevicesFlow
DevicesFlowUserSvc_... DevicesFlow_4d465                             Stopped Manual    C:\Windows\system32\svchost.exe -k DevicesFlow
PimIndexMaintenance... Contact Data_4d465                            Stopped Manual    C:\Windows\system32\svchost.exe -k UnistackSvcGroup
PrintWorkflowUserSv... PrintWorkflow_4d465                           Stopped Manual    C:\Windows\system32\svchost.exe -k PrintWorkflow
UnistoreSvc_4d465      User Data Storage_4d465                       Stopped Manual    C:\Windows\System32\svchost.exe -k UnistackSvcGroup
UserDataSvc_4d465      User Data Access_4d465                        Stopped Manual    C:\Windows\system32\svchost.exe -k UnistackSvcGroup
WpnUserService_4d465   Windows Push Notifications User Service_4d465 Stopped Auto      C:\Windows\system32\svchost.exe -k UnistackSvcGroup
CaptureService_1d8ddd  CaptureService_1d8ddd                         Stopped Manual    C:\Windows\system32\svchost.exe -k LocalService -p
cbdhsvc_1d8ddd         Clipboard User Service_1d8ddd                 Stopped Manual    C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p
ConsentUxUserSvc_1d... ConsentUX_1d8ddd                              Stopped Manual    C:\Windows\system32\svchost.exe -k DevicesFlow
DevicePickerUserSvc... DevicePicker_1d8ddd                           Stopped Disabled  C:\Windows\system32\svchost.exe -k DevicesFlow
DevicesFlowUserSvc_... DevicesFlow_1d8ddd                            Stopped Manual    C:\Windows\system32\svchost.exe -k DevicesFlow
PimIndexMaintenance... Contact Data_1d8ddd                           Stopped Manual    C:\Windows\system32\svchost.exe -k UnistackSvcGroup
PrintWorkflowUserSv... PrintWorkflow_1d8ddd                          Stopped Manual    C:\Windows\system32\svchost.exe -k PrintWorkflow
UnistoreSvc_1d8ddd     User Data Storage_1d8ddd                      Stopped Manual    C:\Windows\System32\svchost.exe -k UnistackSvcGroup
UserDataSvc_1d8ddd     User Data Access_1d8ddd                       Stopped Manual    C:\Windows\system32\svchost.exe -k UnistackSvcGroup

Get-FileHash " C:\Program Files\Aurora-Agent\aurora-agent-64.exe " | tee service-file-2.txt

Get-Item -Path " C:\Program Files\Aurora-Agent\aurora-agent-64.exe " | fl Name, FullName, Length, CreationTime, LastAccessTime, LastWriteTime, VersionInfo | tee service-file-2-details.txt

D5C8BF2D3B56B21639D8152DB277DD714BA1A61BDAF2350BD0FF7E61D2A99003

다음과 같은 aurora-agent-64.exe의 해시 값 정보를 확인할 수 있었다. 또한 경로도 확인되었다.

발견된 경로를 통해 Name, FullName, Length, CreationTime, LastAccessTime, LastWriteTime, VersionInfo를 확인하도록 한다. 이때 발견될 수 있는 OriginalFilename은 x3xv5weg, 즉 서비스 실행 파일 aurora-agent의 이름이 나타난다. 이 정보는 매우 중요하다. 무언가 합법적이지 않은 인스턴스가 해당 info에서 나타난다.

이번에는 scheduled task(예약된 작업)을 확인해볼 것이다. 여기서 Aurora-agent와 연결되어 있는 작업을 확인해보아야 한다. 잘보면 두 개의 scheduled task가 C:\Program Files\Aurora-Agent\aurora-agent-util.exe에 연결되어 있는 것을 확인할 수 있다.

현재 시스템에 등록된 예약된 작업을 나열해보는데, 빠른 검사는 시스템에 등록된 예약 작업이 없음을 나타내고 있다.

위의 정보들을 통해 핵심 내용들을 submit하면 다음 단계로 진입할 수 있다.

Task 10 Background Activities III: Processes and Directories

동적 활동 프로세스

프로세스의 이상 징후를 명확하게 파악하기 위해서 해당 실습을 진행한다.

프로세스의 비정상적인 이름, 경로, 프로세스 부모-자식 관계, 명령과 그 이전의 단계의 결과를 파악하기 위한 작업을 해주도록 하겠다. 프로세스 세부 정보들을 나열할 것이므로 다음 정보를 토대로 정답을 유추해보자.

다음 프로세스 정보에서 유의해볼만한 점은 INTIAL_LANTERN[.]exe와 ssh.exe, aurora-agent-64.exe이다.

해당 프로세스 정보를 따로 빼와서 코드로 적어보도록 하겠다.

aurora-agent-64.exe     3848   960 SYSTEM          "C:\Program Files\Aurora-Agent\aurora-agent-64.exe"             C:\Program Files\Aurora-Agent\aurora-agent-64.exe
conhost.exe              544  3848 SYSTEM          \??\C:\Windows\system32\conhost.exe 0x4                         C:\Windows\system32\conhost.exe
ssh.exe                 4280  3848 SYSTEM          "C:\Windows\System32\OpenSSH\ssh.exe" james@10.10.10.10         C:\Windows\System32\OpenSSH\ssh.exe

ssh 연결 시도에 james@10.10.10.10가 사용되었다. 또한 프로세스의 의심스러운 경로도 확인된다.

aurora-agent와 ssh는 자식-부모 관계를 형성하고 있다.

INTIAL_LANTERN[.]exe의 프로세스를 더 자세히 확인해보도록 하겠다.

Get-FileHash C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe | tee process-file-1.txt

C:\Users\Administrator\AppData\SpcTmp\INITIAL_LANTERN.exe

이전에 진행했던 것과 같이 Hash값과 경로를 확인했다.

Get-FileHash C:\Users\Default\AppData\Local\Temp\jmp.exe

C:\Users\Default User\AppData\Local\Temp\jmp.exe

이제 디렉토리 검사를 진행해줄 것이다. aurora-agent와 ssh에서 수상한 경로는 Temp였다. 이 경로를 조금 더 확인해보기로 했다. \AppData\Local\Temp를 사용한 사용자 정보와 파일 정보를 확인한다.

Default User가 jmp.exe라는 EXE 파일을 사용했다. 이 점에 조금 더 유의한다.

jmp.exe의 hash값을 불러온다.

또한 jmp.exe의 파일 세부 정보도 불러왔다. 그 결과 아까 발견했던 aurora-agent의 OriginalFilename과 완전히 일치하는 x3xv5weg.exe를 확인할 수 있었다! 이로서 jmp.exe도 의심스러운 파일이라는 것이 증명되었다.

이번에는 SpcTmp경로도 다시 한번 확인해본다. 역방향 프록시 유틸리티에 사용되는 잠재 스크립트 Invoke-SocksProxy.pm1이 확인되었다. INITIAL_LANTERN.exe 도 역시 확인되었다.

C: 드라이브가 아닌 문자가 없는 숨겨진 디스크 볼륨이 나타났고, 해당 디스크의 라벨은 Setups이다.

드라이브 이름에 문자를 넣지 않았다는 것은 검사에서 탐지를 숨기기 위한 행동이라고 볼 수 있는 것 같다.

여기까지 따라왔다면 답을 무난하게 입력해볼 수 있다.

다음글이 없습니다.

이전글이 없습니다.