[ KDFS 2018 ] KDFS 2018 문제를 짧게 풀어보자

문제에서 제시한 파일은 다음과 같다.

문제 풀이를 위해 받은 파일 내부

 

문제에서 요구한 사항은 다음과 같다.

 

 - 랜섬웨어가 피해자의 컴퓨터에서 어떤 행동을 했는가?
 (유입 경로, 행위 분석 등)
- 분석한 결과를 토대로 타임라인 생성

 

 

일단 각설하고 풀어보자. 일단 가장 먼저 ftk imager를 이용하여 파일의 내부를 봤다.

 

ftk imager로 본 해당 이미지의 바탕화면 밑에서 부턴 쉽게 그냥 피해자의 ㅇㅇㅇ이라고 하겠음.

 

 일단 피해자의 컴퓨터를 보니 문제에서 제시한 대로... 랜섬웨어에 감염된 것 같고 어떤 랜섬웨어인지, 확인하기 위하여 검색해본 결과 JAFF 랜섬웨어라는 결과가 나왔다. (어떤 랜섬웨어인지 본인이 혼자 판단하여 특정하기 힘들 땐, 구글에 확장자를 검색해보길 바란다.)

 

https://rancert.com/bbs/bbs.php?bbs_id=case&mode=view&id=73

 

이제 한 번 각 아티팩트마다 분석을 시작해보자.

 

 

 

 처음으로 필자는 $MFT, $LogFile, $J 파일을 이용하여 해당 컴퓨터의 파일의 수정, 삭제, 생성 등에 대한 로그를 파악하기 위하여 사용되는 NFTS Log Tracker 1.6 를 이용하여 해당 행위가 일어났던 컴퓨터의 최근 타임라인을 확인해보았고, 그 중 수상해 보이는 asd.exe라는 파일을 발견하였다. 랜섬웨어가 최초로 실행된 시간과 asd.exe가 삭제된 시간이 멀지 않기 때문에, 요주의 파일로 놔둔다. 

asd.exe가 생성됨

 

asd.exe가 삭제됨

 

랜섬웨어의 최초 행위 시작 시간

 

MFT기록을 보다보면 파일은 이력서와 같은 폴더에 있엇다. 그리고 그 이력서는 .doc파일이 아닌 .doc.lnk파일이고 이는 즉, 바로가기 파일이라는 것이다. 이런 점을 생각해봣을 때, 나는 해당 파일과 랜섬웨어의 접점이 있다고 판단. 이를 확인해보았다.

 

 

이력서.doc.lnk는 asd.exe의 바로가기 파일이였으며, 이 때문에 랜섬웨어가 감염되었다는 것을 알 수 있다.

 

 

혹시 랜섬웨어 이 후의 파일 유출은 없을까 ?를 생각해봤지만, 따로 특이점을 찾아 볼 수 없었다.

 

행위	시간	설명
파일 다운로드	12시 51분	인터넷 익스플로러를 사용
이력서.doc.lnk 실행	12시 52분	asd.exe가 켜진 시각
파일 암호화	12시 52분 ~ 12시 54분 52초	MFT기록 참고
랜섬웨어 삭제	12시 54분 54초	asd.exe삭제 MFT기록 참고

 간단하게 이렇게 타임라인을 생성할 수 있다. 사실 이 외에도 많은 기록이 있고, 케이스엔 많은 정보를 함유하고 있지만, 이미 한 번 풀어본 문제고 시간관계상 이렇게 짧게 풀이를 서술하고, 다음 문제를 풀어보겟다.