SANSからの練習問題を試す ネットワーク接続の確認 (1)
RedLineではオープン中ポートの確認は Ports から表示する事ができますので、APT.IMG の解析結果を確認してみます。
結果を確認してみると、リモートIPについては特に情報がなく、一見すると外部との接続は無いように見受けられます。
しかし、Volatility で確認してみると結果が異なってきます。
まずは connectionsを使ってみます。メモリイメージ取得時にアクティブであったセッションを表示するというプラグインですね。*1
Offset(V) Local Address Remote Address Pid
---------- ------------------------- ------------------------- ---
0x81e611f8 192.168.157.10:1053 218.85.133.23:89 796
次に、 スキャンベースのconnscanを使います。誤検出も出ると記載がありますが、アクティブでないものも表示でき使い勝手はよさそうです。対象OSはconnectionsと同じ。
Volatility Foundation Volatility Framework 2.3.1
Offset(P) Local Address Remote Address Pid
---------- ------------------------- ------------------------- ---
0x0205ece0 192.168.157.10:1050 222.128.1.2:443 1672
0x020611f8 192.168.157.10:1053 218.85.133.23:89 796
0x032c01f8 192.168.157.10:1053 218.85.133.23:89 796
0x0337dce0 192.168.157.10:1050 222.128.1.2:443 1672
0x08a4ace0 192.168.157.10:1050 222.128.1.2:443 1672
0x18200ce0 192.168.157.10:1050 222.128.1.2:443 1672
conectionsよりも多くの情報が得られましたが、新たに PID 1672 Explorer.EXE がセッションを張っていた事が確認できます。
SANS Blogの解説でも、connscan コマンドの実行結果が例示されています。
Windows XP のイメージついては、この他にリッスンしていたポートを確認するために使える sockets と sockscan コマンドが用意されています。
socketsの実行結果。
Offset(V) PID Port Proto Protocol Address Create Time
---------- -------- ------ ------ --------------- --------------- -----------
0x822ef510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000
0x81fa9008 1212 1900 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000
0x822d25b0 4 0 47 GRE 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x81e59748 716 500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x822d7220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x8206ce98 464 1032 6 TCP 127.0.0.1 2009-04-16 16:10:21 UTC+0000
0x82305008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
0x81df5298 968 135 6 TCP 0.0.0.0 2009-04-16 16:10:07 UTC+0000
0x82305258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x81d354c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x82165320 716 0 255 Reserved 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x82191138 4 138 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x81fa9658 1088 123 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000
0x822f6618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x821514f8 1212 1900 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x822dda88 716 4500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x821554c8 1088 1028 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x82305818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
次にsockscanの実行結果。
Offset(P) PID Port Proto Protocol Address Create Time
---------- -------- ------ ------ --------------- --------------- -----------
0x01f354c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x01ff5298 968 135 6 TCP 0.0.0.0 2009-04-16 16:10:07 UTC+0000
0x02059748 716 500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x021a9008 1212 1900 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000
0x021a9658 1088 123 17 UDP 192.168.157.10 2009-04-16 16:10:20 UTC+0000
0x0226ce98 464 1032 6 TCP 127.0.0.1 2009-04-16 16:10:21 UTC+0000
0x023514f8 1212 1900 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x023554c8 1088 1028 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x02365320 716 0 255 Reserved 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x02391138 4 138 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x024d25b0 4 0 47 GRE 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x024d7220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x024dda88 716 4500 17 UDP 0.0.0.0 2009-04-16 16:10:16 UTC+0000
0x024ef510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000
0x024f6618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x02505008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
0x02505258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x02505818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
0x03060618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x07a99510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000
0x07b924c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x089a5618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x0af26510 796 1053 6 TCP 0.0.0.0 2009-05-05 19:29:06 UTC+0000
0x0e4624c8 1088 123 17 UDP 127.0.0.1 2009-04-16 16:10:20 UTC+0000
0x15930008 4 445 6 TCP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
0x15930258 4 137 17 UDP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x15930818 4 445 17 UDP 0.0.0.0 2009-04-16 16:10:00 UTC+0000
0x159c1220 4 139 6 TCP 192.168.157.10 2009-04-16 16:10:00 UTC+0000
0x16b5a618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
0x1c3de618 4 1052 6 TCP 0.0.0.0 2009-05-05 19:28:35 UTC+0000
さて、RedLine の Ports では確認できませんでしたが、Volatility を使って確認したところでは、iexplore.exe と Explorer.EXE が外部とセッションを持っているまたは持っていた事が確認できました。
Explorer.exe が Internet 上のホストに対して 443/tcp で接続するというのは興味深い結果ではないでしょうか?それとも普通なんですかね?
*1:ただし、このコマンドには注意点であり、Wikiには This command is for x86 and x64 Windows XP and Windows 2003 Server only. と記載がありますので、Win 7 のメモリイメージなどでは使えないコマンドです。