Download
1 / 29
300 likes | 1.1k Views
메모리 덤프를 이용한 분석 및 공격 기법 분석. System & Network Security Lab 석사 25 기 유창 훈 2013.6.24. Table of Contents. 서론 메모리 덤프란 ? 메모리 덤프 방법 메모리 덤프 기술을 이용한 공격 사례 메모리 분석 예제 Q & A. 서론. 메모리 덤프란 ? 메모리 덤프의 목적 ? 프로세스 열린파일과 레지스트리 네트워크 정보 패스워드 암호화 키 복호화된 데이터 숨겨진 데이터 악성코 드. 메모리 덤프란 ?. 하드웨어방식
E N D
메모리 덤프를 이용한 분석 및 공격 기법 분석 System & Network Security Lab 석사 25기 유창훈 2013.6.24
Table of Contents • 서론 • 메모리 덤프란? • 메모리 덤프 방법 • 메모리 덤프 기술을 이용한 공격 사례 • 메모리 분석 • 예제 • Q & A
메모리 덤프란? 메모리 덤프의 목적? 프로세스 열린파일과레지스트리 네트워크 정보 패스워드 암호화 키 복호화된 데이터 숨겨진 데이터 악성코드 메모리 덤프란?
하드웨어방식 Tribble 시스템에 영향이 적음 미리 설치되어 있어야 함. 메모리 덤프 방법
소프트웨어방식 Win32(64)DD XP 이후 모든 버전, 32/64 비트. 네트워크 전송기능 지원 다양한 옵션을 지원 가능 커뮤니티 버전은 무료, 프로페셔널버전은 유료. Windbg에서 분석가능 메모리 덤프 방법 win32dd /d /f memorydump.dmp - Standard Microsoft crash dump. Win32dd /l /f c:\memory.bin - Waiting for a local connection on port 1337.
소프트웨어방식 MDD 모든 32 비트지원 4GB이상의 램 정보 수집 불가 메모리 덤프 방법 mdd –o test_mdd.mdd
크래시방식 Crash Dump BSOD(Blue Screen of Death) 윈도우가 자동으로 생성 WinDbg를 통해 디버깅 가능 크래시덤프 종류 작은메모리덤프 커널메모리덤프 전체메모리덤프 메모리 덤프 방법
크래시방식 메모리 덤프 방법 WinLogon Session Manager Memory.dmp ② 시스템 재부팅 ③ savedump.exe 프로세스 실행 ① pagefile.sys에 메모리 내용 저장 SaveDump ④ memory.dmp생성 후 pagefile.sys에 기록된 내용을 복사 User mode Kernel mode NtCreate PagingFile Paging file
크래시방식 크래시 덤프 강제 생성방법 PS/2 Keyboard HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\i8042prt\Parameter USB Keyboard HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbdhid\Parameter CrashOnCtrlScroll을 새로 만들고 DWORD 값을 0x01로 설정 오른쪽 CTRL + SCROLL 을 두 번 눌러 크래시 발생 가능 메모리 덤프 방법
가상화 방식 VMware 가상화 기반 프로그램을 이용한 메모리 덤프 획득 세션이 일시정지될 경우, 메모리의 내용을 .vmem파일로 저장 메모리 덤프 방법
절전모드 방식 윈도우 절전모드 윈도우는 절전 모드(Hibernation)로 들어갈 경우 물리메모리 내용을 압축하여 c:\hiberfil.sys 파일로저장 추가적인 장비가 불필요 숨김 파일 설정되어있음. 메모리 덤프 방법
개인 정보 도출 사례 메모리 덤프 기술을 이용한 공격 사례 국내 유명 증권사들의 홈트레이딩시스템(HTS)이 해킹에 무방비로 노출돼 있지만 당국과 증권사들은 알고도 쉬쉬하는데 급급하다는 지적이 일고 있다.홈페이지로부터 다운받은 각 증권사의 HTS를 다양한 디버거(Debugger)툴을 이용해 분석한 결과 ID도용·주문조작·데이터 조작·타인 계좌로 자금이체 조작 등이 손쉽게 가능한 것으로 나타났다는 지적이 잇따르고 있다.증권사의 HTS가 주식거래를 위해 거치는 본인확인 장치는 증권 게좌번호와 비밀번호, 공인인증서, 보안카드 등 4~5가지다. 하지만 해커들은 증권 계좌만으로도 곧바로 계좌에 돈이 얼마나 들었는 지 찾아내는 것으로 최근 KBS 실험결과 밝혀졌다.
암호화 키 도출 Cryptographic key recovery from Linux memory dumps』 TorbjörnPettersson, 2007 논문에서 리눅스 환경에서 암호화 키 도출 메모리 덤프 기술을 이용한 공격 사례
분석 범위 주 메모리는 시스템 메인보드의 RAM을 의미 메모리 분석은 단순히 RAM에 저장된 내용을 분석하는 것만은 아님 메모리 분석
가상메모리 Win32 시스템에서 모든 프로세스는 4GB의 가상 메모리를 할당 가능한 이유? 페이지 파일 사용자영역2 GB 어플리케이션코드, 전역변수, DLL코드, 스택 커널영역2 GB 커널, 필수 데이터, I/O 버퍼공간, EPROCESS영역 메모리 분석
가상메모리 메모리 분석
ActiveProcessList 환형 이중 링크드리스트 형태의 프로세스 연결정보를 담고 있는 구조체 EPROCESS 커널 오브젝트 이하에서 접근가능. 메모리 분석 -루트킷 탐지
커널오브젝트검색 메모리를 분석하기 위해서는 덤프 이미지에서 커널 오브젝트를 찾아야 함 커널 오브젝트 검사 방법 리스트 워킹 패턴 매칭 메모리 분석- 루트킷탐지-DKOM방식
커널오브젝트검색– 리스트 워킹 특정한 프로세스 이름을 이용 덤프 이미지상에서 오브젝트 구조를 이용해 검색가능 ActiveProcessLinks를 이용해 프로세스 검색 DKOM과 같은 은닉기법은 탐지 불가능 메모리 분석- 루트킷탐지-DKOM방식
커널오브젝트검색– 패턴매칭 숨겨진 프로세스라 하더라도 동일한 오브젝트의 구조는 동일하게 존재 오브젝트의 구조를 이용하여 패턴을 매칭하여 검색 DKOM과 같은 기법 탐지 가능 메모리 분석- 루트킷탐지-DKOM방식
전통적인 메모리 분석 기법 문자열 추출 메모리 내무 문자열을 acsII로 열어 검색 이메일, 계정, 비밀번호, 어플리케이션 데이터 분석 도구를 이용한 분석 기법 Volatility :https://www.volatilesystems.com/default/volatility Memoryze : http://www.mandiant.com/products/free_software/memoryze/ 메모리 분석
이메일 계정 암호 추출 예제
이메일 계정 암호 추출 예제
