티스토리

윱

검색하기

[포렌식] OlympicDestroyer - Volatility Contest 2018

보안/CTF

[포렌식] OlympicDestroyer - Volatility Contest 2018

vinn👩‍💻 2024. 11. 19. 01:11

728x90

[문제]

https://www.kaspersky.com/blog/olympic-destroyer/21494/

Olympic Destroyer: who hacked the Olympics?

Experts from Kaspersky Lab studied digital evidence related to the hacking attack on the 2018 Olympics in search of the actual attacker.

www.kaspersky.com

올림픽 담당자가 수신한 일정 업데이트 메일에 첨부된 파일 Olympic_Session_V10을 실행함으로써 악성코드에 감염

해당 파일에서 터미널을 열고 운영체제를 알아내기 위해 volatility -f "filename" imageinfo 명령어를 입력.
프로세스 리스트 분석을 위해 volatility -f "filename" --profile="운영체제" pslist 입력해서 프로세스 리스트 추출(운영체제 = Win7SP1x86_23418)

그다음 pslist.log 파일을 notepad++ 프로그램을 통해 분석해 보니 OlympicDestroy를 포함하여 ocxip.exe, teikv.exe, _xut.exe 등은 일반적인 시스템 프로세스와 일치하지 않는 이름과 행동 패턴을 보이며, OlympicDestroy는 다른 의심스러운 프로세스를 생성하는 부모 프로세스로 보인다고 생각했습니다.
또한, OSPPSVC.EXE도 이번 사건이 엑셀을 통한 침입으로 일어진 일이기 때문에 이 프로세스도 의심스럽습니다.

그다음 파일을 추출하기 위해 filescan 명령어를 입력했고 위에 의심스러운 파일들의 오프셋을 추출했습니다.

.\volatility_2.6_win64_standalone.exe -f "Windows 7-1a1299dc.vmem" --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000007fc8b888 -D ./ -n
먼저 OlympicDestroy 파일의 오프셋을 추출해서 위의 명령어를 입력해서 파일을 추출했습니다.

추출하자마자 악성코드로 인식되어 보안 프로그램으로 차단이 됐습니다.

그다음 ocxip.exe 파일의 오프셋을 추출해 파일을 추출했습니다.

ocxip.exe 파일 또한 바로 악성파일로 감지되어 차단이 됐습니다.

그다음에는 teikv.exe 파일과 _xut.exe도 추출했습니다.

둘 다 악성파일임을 파악했습니다.

마지막으로, OSPPSVC.EXE파일도 추출해서 분석했더니 의심스러운 파일이었음을 확인했습니다.