1. 개요
1.1 프로세스 및 네트워크 분석의 중요성
- 메모리 포렌식에서 프로세스 및 네트워크 활동을 분석하면 악성코드 및 침해 사고 징후를 파악 가능
- 실행 중인 프로세스를 추적하여 악성 코드 감염 여부 및 숨겨진 프로세스 확인
- 네트워크 연결을 분석하여 악성 C2(Command and Control) 서버와의 통신 여부 탐지
- Volatility 등의 도구를 사용하여 프로세스 및 네트워크 데이터를 추출 및 분석 가능
2. 실습 환경 구축
2.1 필요 도구 및 환경
- 분석 도구: Volatility3, Wireshark (네트워크 분석용)
- 메모리 덤프 파일: 이전 실습에서 생성한 덤프 파일 활용
- 운영체제: Windows/Linux/macOS 환경에서 실행 가능
2.2 Volatility3 설치 및 기본 설정
- Volatility3 다운로드 및 설치 (이전 포스트 참고)
- Python 환경에서 실행 (
python3 vol.py -h 명령어로 확인)
- 분석할 메모리 덤프 파일 준비 (예:
memory.raw)
3. 프로세스 분석
3.1 실행 중인 프로세스 목록 확인
python3 vol.py -f memory.raw windows.pslist
- PID (프로세스 ID) 및 PPID (부모 프로세스 ID)를 기반으로 프로세스 관계 확인
- 비정상적으로 실행된 프로세스 탐색
3.2 숨겨진 프로세스 탐지
python3 vol.py -f memory.raw windows.psscan
3.3 특정 프로세스의 상세 정보 조회
python3 vol.py -f memory.raw windows.dlllist --pid <PID>
- 특정 프로세스에서 로드된 DLL 확인
- 네트워크 연결과 연관된 프로세스 분석 가능
4. 네트워크 분석
4.1 네트워크 연결 상태 확인
python3 vol.py -f memory.raw windows.netscan
- 활성화된 네트워크 연결 확인
- 비정상적인 외부 IP와 연결된 프로세스 탐지
4.2 악성 C2 서버 탐지
python3 vol.py -f memory.raw windows.connscan
- 기존 netscan 명령어보다 더 깊은 네트워크 연결 정보 확인 가능
4.3 DNS 요청 기록 분석
python3 vol.py -f memory.raw windows.dnscache
- 최근 요청된 도메인 목록 확인
- 악성 코드가 특정 도메인과 연결되었는지 분석 가능
5. 결론
- 프로세스 및 네트워크 분석을 통해 실행 중인 프로세스와 네트워크 연결을 조사하여 악성코드 여부 판단 가능
- pslist, psscan, dlllist 등을 사용하여 프로세스 분석, netscan, connscan, dnscache 등을 사용하여 네트워크 분석 수행
- 비정상적인 실행 파일과 C2 서버와의 통신을 추적하여 악성코드 감염 여부를 파악 가능