다음은 Volatility Wiki의 Memory Samples 리스트에 있는 Malware - Cridex 파일에 대한 분석이다.
먼저 주어진 파일에 대한 프로파일 분석을 위해 imageinfo를 사용하였고, WinXPSP2x86 인 것으로 파악할 수 있었다.
이 후, 메모리 내 프로세스 리스트와 구조, 그리고 네트워크 상태를 파악하기 위해 아래의 명령어를 사용하여 추출하였다.
pstree 를 통해 확인한 리스트에서 가장 의심이 되게끔 생긴 explorer.exe 프로세스와 이것의 하위 프로세스인 reader_sl.exe를 우선적으로 분석하려고 한다. reader_sl.exe는 Adobe Acrobat Reader의 실행파일인데, 대게 PDF 열람 시 사용한다. 게다가 PDF는 악성코드가 심어져있을 확률이 높은 경로이므로 이를 통한 감염도 의심해볼 수 있다.
앞서 함께 추출했던 정보인 connections를 확인하니 유일하게 적힌 connections 정보를 확인할 수 있는데,
여기에 사용된 pid 1484가 현재 의심되는 프로세스인 explorer.exe의 pid와 일치하였다. 파일 탐색기가 외부 IP와 네트워크 연결을 맺고 있는 경우가 흔하지 않으므로 분석해볼 만하겠다는 생각이 들었다.
이외에도 추출 가능한 다른 요소인 filescan에서 의심대상 파일을 검색해본 결과 reader_sl.exe 파일에 대한 덤프가 가능할 것으로 보여 이를 추출하고 VirusTotal을 통해 이 파일에 대한 검사를 진행했다.
그러자 이 파일이 매우 높은 확률로 악성코드일 것이라 생각될만한 결과가 나왔다.
어떠한 경로로 침해사고가 발생하였는지 확인하기 위해 reader_sl.exe의 부모 프로세스인 explorer.exe를 조사하였다.
여기에 connections에서 얻은 IP 주소를 활용해보고자 검색을 수행하였는데, 이 IP 주소가 사용된 곳 중 아래와 같은 부분을 발견할 수 있었다. 여기에는 서로 다른 IP 주소에 같은 경로를 사용한 많은 URL들이 있었다. 따라서 이 공통되는 path를 중심으로 다시 한번 검색했다.
그러자 이 문자열로도 많은 검색 결과를 얻을 수 있었는데, 그 중 경로의 끝부분이 .php로 끝나는 부분을 따라가봤다. 검색된 결과의 위쪽으로는 은행 사이트로 추정되는 많은 도메인명이 있었고, 아래로는 웹페이지 소스코드로 추정되는 코드가 있었다. 이 중 아래의 웹페이지 소스코드의 추출하고 브라우저를 이용해 확인하였다.
추출한 HTML 파일의 내용에서는 보안이 철저하다는 말을 앞세워 온갖 개인정보를 요구하고 있는 것을 알 수 있었다.
이것으로 초기 접근은 은행사이트 피싱을 이용한 것으로 추측할 수 있다.
그러나 여기에서 어떻게 Adobe Acrobat reader의 reader_sl.exe를 실행되게 할 수 있었는지가 확실하지 않은 상황이다.
여기까지 내용을 정리하면 다음과 같다.
1. explorer.exe 프로세스가 41.168.5[.]140:8080 과 커넥션을 맺고 있다.
explorer.exe는 파일 탐색기의 프로세스명으로, 파일 탐색기가 외부 IP와 커넥션을 맺을만한 일이 있을지를 고려하여 의심 프로세스로 선정하였다.
2. explorer.exe 프로세스의 자식 프로세스인 reader_sl.exe 프로세스의 덤프 파일을 VT를 통해 검사한 결과, 바이러스로 탐지된 정황이 발견되었다. 따라서 본 덤프 파일에 대한 악성 행위 파악을 위해 추가적인 분석이 필요할 것으로 보인다.
3. explorer.exe 프로세스 내에서 발견된 IP 주소(188.40.0[.]138:8080)로 Chase[.]com에 대한 피싱 사이트 접근 정황이 발견되었다.
이에 대한 상세 경위를 파악하기 위해서는 explorer.exe에 대한 분석도 진행되어야할 것으로 보인다.
분석 과정에서 explorer.exe 프로세스 자체 실행 메커니즘 상의 특이점이 발견될 경우 프로세스를 변조시킨 경로에 대한 조사도 이루어져야할 것이다.
+ Windows 8 이상부터 윈도우 시작 메뉴에 있는 라이브 타일의 네트워크 사용으로 인해 explorer.exe가 네트워크에 연결되어 있을 수도 있다고 한다.