SANSからの練習問題を試す ネットワーク接続の確認 (2)
iexplore.exe と Explorer.EXE が外部へ通信していたことが確認できていますが、それぞれのプロセス情報に関連するデータがないかも念のため確認しておきたいと思います。
0x032c01f8 192.168.157.10:1053 218.85.133.23:89 796
0x0337dce0 192.168.157.10:1050 222.128.1.2:443 1672
接続先のIPアドレスとしては、218.85.133.23 と 222.128.1.2 という二つのIPアドレスが確認できています。
まずは、PID 1672 Explorer.EXE で IP アドレス 222.128.1.2が Strings に含まれていないかを確認してみます。3件ほどヒットするようです。念のため 218.85.133.23 をこちらで探してもヒットしません。
では次に、同じようにPID 796 iexplore.exe の Strigns も確認してみます。
218.85.133.23 の 89/tcp へ接続し、index.asp にアクセスしたと考えられる文字列を確認することができました。念のためこちらでも 222.128.1.2 を検索してみますが、これはヒットはありません。
マルウェアによっては、この様な文字列データを平文ではなく、 XOR で保存している可能性も考えられますので、その場合には XOR を意識した解析も必要になるのかもしれません。
SANS Blogでは、これらのIPアドレスについて位置情報を IP アドレスから探すということを実施しています。
Googleなどで、IP Address Geolocation などの単語で検索すると、IPアドレスから(大雑把な)位置情報を引いて教えてくれるサービスが幾つもあります。
上記いずれのIPアドレスも中国国内で割り当てされているIPアドレスという事が分かるかと思います。
ネットワーク関連で他にも何か調べられるか?と思い、Volatilityのコマンドを確認してみましたが、iehistory というコマンドもありますね。
c:\Cases\APT>vola.exe -f APT.img --profile=WinXPSP3x86 iehistory
Volatility Foundation Volatility Framework 2.3.1
早速試してみましたが、残念ながらこのイメージファイルでは特に情報を得ることができませんでした。
ネットワーク関連では、イメージからデータ抜き出すプラグインがあったような気がしなくもないのですが、データ抽出の段階で考えてみたいと思いますので、ネットワークについては一旦ここまでにしておきます。