이 포스팅은 DFC 2019 IR200 - Block Autorun 문제 파일에서의 악성 파일을 추측한 것입니다.
1. NisSrv.exe - 경로 이상
(1) 내 PC에서의 NisSrv.exe 경로: C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.3-0
(2) 문제파일에서의 NisSrv.exe 경로: %ProgramFiles\Windows Defender\NisSrv.exe
2. durlek.bat - 로그온 스크립트 파일
로그온 스크립트 파일: 사용자가 계정 로그온 시 자동으로 실행되는 스크립트
내 PC의 해당 경로에는 다음과 같이 프로그램 데이터에 관한 정보나 db 파일만 존재한다. PC방 같은 곳에서는 로그온 스크립트를 쓸 수 있지만, 그렇지 않은 일반적인 PC 상에서 로그온 스크립트가 등록되어 있다면 의심할 수 있다.
그리고, durlek.bat 파일에 대한 정보가 전혀없다. + '여기다.bat'..
3. win32.exe - 자동 로그온 설정
위 문서에 따르면 Winlogon 키는 자동 로그온을 설정할 수 있는 레지스트리 키다. 그 중 'Shell' value는 시스템이 시작할 때 자동으로 시작되는 프로그램이 등록되는 곳이다.
따라서 ROOT\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon 키에 있는 'win32.exe'는 로그인될 때 자동으로 시작되는 프로그램일 것이다.
일반적으로 자동으로 시작되는 프로그램을 등록하지 않는다. 로컬 PC에서 저 경로를 들어가보아도 exe 파일은 없다.
4. utilman.exe - userinit과 함께 실행되는 프로그램 + 경로 이상
시스템 부팅시 시작되는 userinit과 함께 실행되는 프로그램. 원래는 userinit.exe 만 있어야 한다.
로컬에서 utilman.exe를 찾아보니 System32 등에 저장된다. 즉, 다른 경로에 있는 정상 파일의 이름을 따온 악성 파일로 의심된다.
5. tlpsrv.exe - 확인되지 않은 파일명
전혀 검색되지 않는 실행 파일명이다. 노력도 안한 악성 파일,,
6.rmfotj.dll - dll 호출 + 확인되지 않은 파일명
attack.mitre.org/techniques/T1546/009/
Event Triggered Execution: AppCert DLLs, Sub-technique T1546.009 - Enterprise | MITRE ATT&CK®
attack.mitre.org
7.
Known DLL의 DLL 파일은 시스템 부팅 시 캐시를 통해 미리 로드되고 이후 사용시에도 캐시된 DLL로 실행하게 한다.
ROOT\ControlSet001\Control\Sessino Manager\KnownDLLs 경로에 등록된 dll 중 user32.dll
KMS-R@1n.exe
R@1n-KMS.exe / FileZilla.exe / user32.dll
'Forensics' 카테고리의 다른 글
| Galaxy S9+ (Android 10) 루팅 with Magisk (0) | 2022.11.05 |
|---|---|
| bitnang_2020 디포전2급 모의문제 2번 문제 답안 with HxD, FTK (0) | 2021.04.04 |
| [MITRE ATT&CK] Event Triggered Execution: Screensaver (0) | 2021.04.04 |
| $MFT로 파일의 절대 경로 찾기 (0) | 2021.03.28 |
| Fixup Array Structure Analysis (0) | 2021.03.14 |