Memory Forensics:How to analyze a VMware memory image with Volatility

Memory Forensics:How to analyze a VMware memory image with Volatility

ในการวิเคราะห์ Memory   ซึ่งเป็นข้อมูลในหน่วยความจำชั่วคราว (RAM) ที่กำลังทำงานอยู่ ซึ่งอาจเรียกว่าหลักฐานที่สูญสลายได้ (Volatile data) เราจำเป็นต้องใช้ เครื่องมือสำหรับการเก็บข้อมูลชนิดนี้และวิเคราะห์ Memory โดยเฉพาะ

Volatile memory หมายถึง หน่วยความจำแบบลบเลือนได้ ซึ่งเป็นหน่วยความจำที่ต้องใช้กระแสไฟฟ้าหล่อเลี้ยง เพื่อเก็บข้อมูล หากเกิดไฟฟ้าดับข้อมูลและโปรแกรมคำสั่งจะสูญหายไป หน่วยความจำประเภทนี้ เช่น แรม (RAM) ของเครื่องคอมพิวเตอร์ เป็นต้น

Memory analysis Tools

• Volatility  2.6 win64 standalone (Free Tool)
• PassMark Volatility Workbench (Free Tool)
• Magnet Axiom (Commercial tool)

Evidence 

Malware Analysis.vmem 

• Download Image

1.Acquisition  (การได้มาซึ่งหลักฐาน)

ทำการเปิด Virtual Machine ที่เราสงสัยว่ามีโปรแกรมอันตรายติดตั้งอยู่ที่เตรียมไว้ 

ทำการ copy Malware Analysis.vmem จาก  Virtual Machine

2.Analyze Evidence 

2.1 PassMark Volatility Workbench เป็นเครื่องมือสำหรับวิเคราะห์ memory อีกตัวที่ใช้งานง่าย ไม่ต้องใช้ Command line เพราะเป็น  (Graphical User Interface, GUI) ลดปัญหาพิมพ์คำสังผิด เครื่องมือนี้ชื่อว่า volatility-workbench  จาก PassMark Software  พัฒนาจาก Volatility  นอกจากนี้ยัง สนับสนุน Mac and Linux memory ด้วยครับ

เรียก PassMark Volatility Workbench เพื่อเปิด  Malware Analysis.vmem เลือกคำสั่ง  คำสั่ง info เพื่อดูไฟล์  Malware Analysis.vmem ว่าเป็นระบบปฎิบัติการอะไร WindowsXP

เลือกคำสั่ง Pslist สามารถเรียกดูข้อมูลของ memory และ thread ของแต่ละ process เวลาที่ process ทำการรัน หมายเลข PID (หมายเลข process)

เลือกคำสั่ง Malfind สามารถเรียกดูข้อมูลของ memory และ process ทำการรัน ค้นหาโปรแกรมที่น่าสงสัย PID 1484 Beast2.07.exe

2.2 Volatility Framework เป็นเครื่องมือสำหรับวิเคราะห์ memory เป็นเครื่องมือวิเคราะห์พยานหลักฐานดิจิทัลที่ใช้วิเคราะห์ ข้อมูลชนิด Volatile data จาก (RAM) ผ่าน Command lineที่เก็บมาสามารถนำไปวิเคราะห์ต่อ สนับสนุน Winodws, Mac and Linux memory ตัวนี้ฟรีครับ ใครศึกษาด้าน malware analysis ,Memory analysis 

เรียก Volatility Framework  เลือกคำสั่ง  คำสั่ง imageinfo เพื่อดูโปรไฟล์  Malware Analysis.vmem ว่าเป็นระบบปฎิบัติการอะไร WindowsXPSP2x86

Pslist สามารถเรียกดูข้อมูลของ process ทำการรัน และหมายเลข PID (หมายเลข process)

#vol.exe --profile=WinXPSP2x86 -f "C:\CF101\Malware Analysis.vmem" pslist พบว่าโปรแกรมที่น่าสงสัย PID 1484 Beast2.07.exe

ทำการใช้คำสั่ง connscan   ใช้สำหรับ  scan tcp connections ทั้งหมดที่ถูกใช้ ผลลัพถ์แสดงรายละเอียด IP address ที่เชื่อมต่อยู่

#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  connscan

ทำการใช้คำสั่ง dlllist   ใช้สำหรับ  แสดงรายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484

#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  dlllist -p 1484

ทำการใช้คำสั่ง dlldump   ใช้สำหรับ dump รายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484 ไปที่Folder ที่เราสร้างไว้

#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  dlldump  -D dlls/ -p 1484

ทำการใช้คำสั่ง iehistory   ใช้สำหรับว่ามีการเรียกใช้ browser IE ทั้งหมดผลลัพถ์แสดงรายละเอียด ไฟล์ *.htm

#vol.exe --profile=WindowsXPSP2x86 -f  c:\CF101\Malware Analysis.vmem  iehistory

ทำการ Scan virus  ในโฟรเดอร์ dlls ผลลัพธ์ที่ได้พบ Threats found : 5

2.3 Magnet AXIOM เป็นซอฟต์แวร์สำหรับตรวจพิสูจน์หลักฐานดิจิทัล พัฒนาโดยบริษัท Magnet Forensics ช่วยในการตรวจพิสูจน์ข้อมูลดิจิทัล เพื่อสืบค้นและวิเคราะห์ข้อมูล ที่บันทึกอยู่ในสื่อบันทึกข้อมูลดิจิทัลต่าง ๆ อีกทั้งยังสามารถสืบค้นและวิเคราะห์ข้อมูล  memory  ซอฟต์แวร์นี้ต้องซื้อ license 

ทำการใช้ Magnet Axiom Process  เปิด Malware Analysis.vmem และประมวลผล

ขั้นต่อไปให้ใช้ Magnet Axiom Examine เปิด Artifact categories >Memory

Memory > เลือกคำสั่ง  คำสั่ง imageinfo เพื่อดูโปรไฟล์ *.Vmem

Memory > เลือกคำสั่ง Malfind สามารถเรียกดูข้อมูล ค้นหาprocess  และโปรแกรมที่น่าสงสัย

Memory > ทำการ Filter Process ID 1484 ซึ่งเป็นPID และ โปรแกรม Beast2.07.exeที่น่าสงสัย จากขั้นตอนที่แล้ว

ทำการตรวจสอบ Process ID 1484 และ Beast2.07.exe มีความเชื่อมโยงกัน

Memory >  ทำการใช้คำสั่ง Export dlldump ,Procdump,dumpfile   ใช้สำหรับ dump รายละเอียด DLL ที่ถูกเรียกใช้ โดย Process ID 1484 ไปที่Folder ที่เราสร้างไว้

แสดงไฟลเดอร์ที่  Export dlldump ,Procdump,dumpfile 

ทำการ Scan virus  ในโฟรเดอร์ Export dlldump ,Procdump,dumpfile ผลลัพธ์ที่ได้พบ Detections : 24

ที่มา:

https://steemit.com/security/@nybble/forensic-extracting-files-from-mft-table-with-volatility-part-2-en

https://www.andreafortuna.org/2017/07/03/volatility-my-own-cheatsheet-part-2-processes-and-dlls/

https://github.com/volatilityfoundation/volatility/wiki/Volatility-Usage

https://www.andreafortuna.org/2019/04/03/how-to-analyze-a-vmware-memory-image-with-volatility/

 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud