RedLine Lab

해당 문제는 CyberDefenders의 RedLine Lab 문제에 대한 풀이입니다.

---

1. Challenge description

As a member of the Security Blue team, your assignment is to analyze a memory dump using Redline and Volatility tools. Your goal is to trace the steps taken by the attacker on the compromised machine and determine how they managed to bypass the Network Intrusion Detection System "NIDS". Your investigation will involve identifying the specific malware family employed in the attack, along with its characteristics. Additionally, your task is to identify and mitigate any traces or footprints left by the attacker.

 

Q1.
What is the name of the suspicious process?

해당 질문을 해결하기 위해 pslist를 통해 확인을 했을 때 PPID가 이상한 프로세스가 있었다.

> py .\vol.py -f \MemoryDump.mem windows.pslist > \mem\pslist.log

Q2.
What is the child process name of the suspicious process?

pslist 기준 아래에 있었고 PPID가 5896인 것을 찾으면 됐다.

Q3.
What is the memory protection applied to the suspicious process memory region?

volatility에선 메모리 보호 속성을 확인할 수 있는 플러그인인 vadinfo를 사용하면 된다.

> py .\vol.py -f \MemoryDump.mem" windows.vadinfo --pid 5896 > \mem\vadinfo.log"

Q4.
What is the name of the process responsible for the VPN connection?

해당 질문에는 pslist를 통해 확인한 프로세스 중 Outline.exe를 확인 할 수 있었다.

Outline.exe 은 Outline VPN의 프로세스로 VPN 클라이언트 겸 서버 설정 프로그램

Q5.
What is the attacker's IP address?

해당 IP 는 덤프 내에 활성 네트워크 연결 정보를 추출하는 netscan Plugin을 사용했다.

추출된 정보 중 처음 찾아낸 oneetx.exe 프로세스와 연결되어 있는 IP를 찾았다.

> py .\vol.py -f MemoryDump.mem windows.netscan > \mem\netscan.log

Q6.
Based on the previous artifacts. What is the name of the malware family?

저 IP가 공격자인것을 알았으니 MalwareBazaar Database를 통해 malware familiy를 확인해줬다.

Q7.
What is the full URL of the PHP file that the attacker visited?

해당 질문을 해결하기 위해서는 strings를 써야 했다.

URL이라 했기에 40개 문자 이상만 추출했다.

그럼에도 3000개가 넘게 추출되어 URL에 공격자 IP가 들어갔는지 확인했다.

> .\strings.exe -n 40 \MemoryDump.mem > \strings1.log"

Q8.
What is the full path of the malicious executable?

strings로 추출한 데이터에서 oneetx.exe을 검색해서 경로처럼 보이는 것을 찾았다.