This document lists the operating systems and service packs supported by Volatility, a digital forensics tool. It supports various versions of Windows, Linux, and Mac OS X. It also provides analysis capabilities like process analysis, network analysis, and disassembly of code. Additional steps are needed when using Ubuntu kernels to add library paths.
This document lists the operating systems and service packs supported by Volatility, a digital forensics tool. It supports various versions of Windows, Linux, and Mac OS X. It also provides analysis capabilities like process analysis, network analysis, and disassembly of code. Additional steps are needed when using Ubuntu kernels to add library paths.
2. 2
1. Network Worm 특성 (1/2)
1. 네트워크 웜 (Network Worm)
윈도우 시스템으로 구성된 인접한 네트워크를 통해 전파
윈도우 시스템의 보안 취약점에 대한 버퍼 오버플로우 공격
윈도우 시스템의 취약한 보안 설정에 대한 사전 대입 공격
윈도우 시스템 스캐닝과 익스플로잇 패킷으로 인한 네트워크 트래픽 증가
[네트워크를 이용한 전파] [네트워크 트래픽 생성]
3. 3
2. 네트워크 웜의 확산 프로세스
1) 네트워크 웜 실행
2) 최초 감염 시스템의 IP 조회
3) IP 조회로 네트워크 클래스 확인
4) 해당 네트워크 클래스 IP 대역으로 Syn 패킷 송신
5) 해당 IP 대역의 시스템들로 부터 Ack 패킷 수신
6) Ack 패킷을 송신한 시스템들에게 익스플로잇 패킷 재송신
7) 익스플로잇 패킷을 수신한 시스템들의 관리자 권한 획득
8) 관리자 권한을 획득한 시스템으로 웜 복사본 전송
9) 전송한 웜 복사본 실행
1. Network Worm 특성 (2/2)
4. 4
2. Mass Mailer Worm 특성 (1/2)
1. 메스 메일러 웜 (Mass Mailer Worm)
전자 메일을 이용하여 웜 전송
사회 공학 기법을 이용한 전자 메일의 송신자, 제목, 본문 및 첨부 파일명 구성
감염된 시스템으로부터 웜 전송에 사용할 전자 메일 주소 수집
웜 내부 SMTP 엔진 내장
일시적인 DNS MX 레코드 쿼리 증가
웜을 포함한 전자 메일 전송시 TCP 25번 포트 트래픽 증가
[메스 메일러 웜의 메일 형태]
5. 5
1) 메스 메일러 웜 실행
2) 최초 감염 시스템에서 특정 확장자의 파일들에서 메일 주소 수집
3) 수집한 메일 주소들의 도메인에 대한 DNS MX 레코드 조회
4) 획득한 DNS MX 레코드로 해당 도메인의 메일 서버 확인
5) 해당 도메인의 메일 서버로 웜이 첨부된 메일 전송
6) 웜이 첨부된 메일을 해당 도메인의 메일 서버 수신
7) 메일 서버는 웜이 첨부된 전자 메일을 수신자에게 전송
2. 메스 메일러 웜의 확산 프로세스
2. Mass Mailer Worm 특성 (2/2)
[메스 메일러 웜의 전자 메일 전송 과정]
6. 6
1. Win32/Mytob.worm.51200.B
1) File Format 분석 - PE 파일, Upack 실행압축
2) 실행압축 해제 - Visual C++ 제작
3) 문자열 분석
4) 증상 분석
파일 생성
c:funny_pic.scr (51,200 바이트), c:hellmsn.exe (51,200 바이트),
c:my_photo2005.scr (51,200 바이트), c:see_this!!.scr (51,200 바이트)
c:WINDOWSsystem32jusched32.exe (51,200 바이트)
레지스트리 생성
HKEY_CURRENT_USERSoftwareMicrosoftOLE
HKEY_CURRENT_USERSYSTEMCurrentControlSetControlLsa
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESYSTEMControlSet001ControlLsa
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
“WINTASK DLL” 키의 “jusched32.exe” 밸류 값을 가짐
3. Case Study (1/3)
7. 7
3. Case Study (2/3)
1. Win32/Mytob.worm.51200.B
4) 증상 분석
IRC 서버 접속
Exploit Packet 전송
9. 9
3. Case Study (4/3)
1. Win32/Mytob.worm.51200.B
5) 코드 분석
MS04-011, MS03-039 취약점 이용
감염 IP 대역 조회 및 연산
특정 형식의 전자 메일 발송
첨부 파일 확장자 구성
IRC 서버 접속 후 특정 명령 수행
실행 시 특정 Mutex 생성