アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANSからの練習問題を試す ネットワーク接続の確認 (2)

iexplore.exe と Explorer.EXE が外部へ通信していたことが確認できていますが、それぞれのプロセス情報に関連するデータがないかも念のため確認しておきたいと思います。

0x032c01f8 192.168.157.10:1053       218.85.133.23:89          796

0x0337dce0 192.168.157.10:1050       222.128.1.2:443           1672

接続先のIPアドレスとしては、218.85.133.23 と 222.128.1.2 という二つのIPアドレスが確認できています。

まずは、PID 1672 Explorer.EXE で IP アドレス 222.128.1.2が Strings に含まれていないかを確認してみます。3件ほどヒットするようです。念のため 218.85.133.23 をこちらで探してもヒットしません。

f:id:hideakii:20140313202422p:plain

 では次に、同じようにPID 796 iexplore.exe の Strigns も確認してみます。

f:id:hideakii:20140313202428p:plain

 218.85.133.23 の 89/tcp へ接続し、index.asp にアクセスしたと考えられる文字列を確認することができました。念のためこちらでも 222.128.1.2 を検索してみますが、これはヒットはありません。

マルウェアによっては、この様な文字列データを平文ではなく、 XOR で保存している可能性も考えられますので、その場合には XOR を意識した解析も必要になるのかもしれません。

SANS Blogでは、これらのIPアドレスについて位置情報を IP アドレスから探すということを実施しています。

IP Address Lookup

Googleなどで、IP Address Geolocation などの単語で検索すると、IPアドレスから(大雑把な)位置情報を引いて教えてくれるサービスが幾つもあります。

上記いずれのIPアドレスも中国国内で割り当てされているIPアドレスという事が分かるかと思います。

 

 ネットワーク関連で他にも何か調べられるか?と思い、Volatilityのコマンドを確認してみましたが、iehistory というコマンドもありますね。

c:\Cases\APT>vola.exe  -f APT.img --profile=WinXPSP3x86 iehistory

Volatility Foundation Volatility Framework 2.3.1

 早速試してみましたが、残念ながらこのイメージファイルでは特に情報を得ることができませんでした。

ネットワーク関連では、イメージからデータ抜き出すプラグインがあったような気がしなくもないのですが、データ抽出の段階で考えてみたいと思いますので、ネットワークについては一旦ここまでにしておきます。