Friday, February 10, 2023

Malware Forensics:Investigate Malware & Ransomware with Magnet forensics

Malware Forensics:Investigate Malware & Ransomware with Magnet forensics

                เนื่องด้วยบทความนี้เป็นการรีวิวพอสังเขป     โดยใช้เครื่องมือ Magnet AXIOM  จึงไม่ได้ลงรายละเอียดลึกมาก ขออภัยมา ณ ที่นี้ 


วัตถุประสงค์การทดสอบ

  •      ทำการเก็บรวบรวมพยานหลักฐาน ในหน่วยความจำ Memory
  •      ทำการค้นหาข้อมูลในหน่วยความจำ Memory
  •      ศึกษาเครื่องมือ Dump memory   
  •      ศึกษาเครื่องมือ   memory  analysis 
เครื่องมือที่ใช้

  • Magnet RAM Capture
  • FTK Imager 
  • Magnet AXIOM Examine 

  • Notebook workstation
  • Virus total  & Sandbox Online

Keyword 

  • WannaCry  (จากข้อมูลหลักฐานที่ได้ คือรูป หน้าจอโดน ransom ware ส่งมาที่ LAB)
  • WNCRY    (จากข้อมูลหลักฐานที่ได้ คือรูป หน้าจอโดน ransom ware ส่งมาที่ LAB)

Static analysis

Malware Forensics:Investigate Malware & Ransomware with Magnet forensics

Malware & Ransomware with Magnet forensics

ในส่วนนี้เราจะพูดถึงการตรวจสอบมัลแวร์   ซึ่่ง เราจะมาใช้เครื่องมือ AXIOM   ในการวิเคราะห์หน่วยความจำ มักจะมีร่องรอยสำคัญในการตรวจสอบมัลแวร์

เราได้ข้อมูล Memory Image  สำหรับใช้วิเคราะห์หลักฐานแล้ว 

  • ใช้เครื่องมือ FTK Imager  Dump memory    ไฟล์ชือ  "memdump.mem" 
  • ใช้เครื่องมือ Magnet RAM Capture    Dump memory   ไฟล์ชือ "Dump_CF-DF-MM01.raw"

เนื่องด้วยเครื่่องมือ Magnet AXIOM Examine V.6 เอาความสามารถของ volatility framework รวมเข้าด้วยกันใช้สำหรับวิเคราะห์ Memory 

volatility framework คือเครื่องมือที่ใช้วิเคราะห์ memory  


Analyze Evidence  ทำการ Load 

Malware & Ransomware with Magnet forensics

Malware & Ransomware with Magnet forensics

LNK Files  พบร่องรอยน่าสงสัยจาก LNK file  มีการกด link หรือเปิดไฟล์  @wanaDecryptor@.exe เวลา  16/2/2023 15:45  จาก USB หรือ อุปกรณ์ Volume Serial Number: E00FAB60   Volume Name :BSA  Drive :E  "E:\Sample Malware\@wanaDecryptor@.exe"

alware & Ransomware with Magnet forensics


Malware & Ransomware with Magnet forensics


เราพบว่ามีไฟล์ WannaCry.exe   น่าสงสัยคือ  Process Name : WannaCry.exe   Process ID: 728  

Ransomware with Magnet forensics

หลังจากนั้นมาทำการตรวจสอบ   Process ID: 728  WannaCry.exe   PPID:2696  พบว่ามีการเชื่อมโยงมาจาก "E:\Sample Malware\WannaCry.exe   และไปใช้งาน DLL file ต่างๆ

Malware & Ransomware with Magnet forensics

ทำการ Extract Process ID: 728 >  procedump , dlldump,  memdump  เพื่อมาตรวจสอบ

Ransomware with Magnet forensics

ได้ไฟล์ Executable.728.exe   และผลการ check virus total พบว่าเป็นมัลแวร์ 


Virus total Basic properties

ผลการ Scan ไฟล์ Executable.728.exe  โดย sandbox พบว่าเป็น ransomware

ทำการ Extract Process ID: 728  filedump   และไป scan  ใน Virus total 
file.728.0x869427a8.img

แต่เงื่อนไขสำคัญ คือ "ห้ามปิดหรือ restart เครื่องหลังจากติด WannaCry แล้วโดยเด็ดขาด" อีกทั้งห้ามปล่อยเวลาให้ผ่านนานเกินไป ไม่งั้น memory ส่วนที่เก็บค่าสำคัญนั้นอาจถูกลบหรือถูกเขียนทับโดย process อื่นไปแล้วก็เป็นได้ ข้อมูลในหน่วยความจำที่สามารถสูญหายได้เมื่อปิดอุปกรณ์ ก็จะทำให้หาร่อยรอยได้ยาก


ศึกษาเพิ่มเติม: Volatile Data.
                           Memory Forensics

ท่านสามารถใช้ WannaKiwi และยืนยันว่าสามารถปลดล็อก WannaCry บน Windows XP และ Windows 7 ได้เงื่อนไขเบื้องต้นในการปลดรหัสได้สำเร็จต้องมีอย่างน้อย 2 รายการเช่นเดียวกับ WannaKey คือ

  • คอมพิวเตอร์ที่ถูก WannaCry เข้ารหัส จะต้องยังไม่ถูกรีสตาร์ทไปเสียก่อน
  • พื้นที่บนๆ Memory ที่เกี่ยวข้องกับการกู้ข้อมูลกุญแจที่ใช้เข้ารหัสจะต้องยังไม่ถูก Reallocate หรือถูกลบไปโดยโปรเซสอื่นๆ   หากไม่ได้ถูกโปรแกรมอื่นใช้หน่วยความจำตำแหน่งเดียวกันแล้วเขียนข้อมูลทับไปเสียก่อน
  • ดาวน์โหลด WanaKiwi Decrypter ได้ผ่านทาง: https://github.com/gentilkiwi/wanakiwi/releases


ที่มา: https://www.techtalkthai.com/wanakiwi-decryptor-for-wannacry

         Investigate Malware & Ransomware with Speed and Efficiency


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...