[DFC2019] IR100

랜만에 DFC 문제를 풀어보겠습니다~

 

영어 잘하는 제가 한번 해석을 해보자면... 큼큼 IR ... 으흠흠..... 말웨어에 감염된 pc의 $MFT 파일을 주겠다..

공격자가 $Recycle.Bin 폴더를 가지고 공격을 진행했으니 그 부분을 보면 되겠네요.

 

$MFT를 winhex로 열어봤습니다.

($Recycle.Bin 검색 후 살펴 봄) MFT entry 구조에 대해서 잠시 보자면

MFT Entry Header

$STANDARD_INFORMATION

$FILE_NAME

$INDEX_ROOT

로 되어있었습니다.

$INDEX_ROOT를 좀 더 살펴보면 현재 $Recycle.Bin 폴더에는 

7.exe 파일

S-1-5-18 폴더

S-1-5-21-1473963288-2030887042-1500827553-1000 폴더

S-1-5-~1 폴더

가 존재합니다.

생각을 해보자면 휴지통에 파일을 임의적으로 넣으면 파일명이 그대로 살아있고 ( 7.exe 처럼 )

그게아니라 일반적인 삭제라면 일반적으로 $I, $R 이라는 파일 두개가 생성됩니다. 아무래도 휴지통에만 넣는다는 것은 일반적인 삭제기 때문에 복구를 해야하니까 그에 대한 정보를 같이 생성하는 것 같습니다. 

여기까지만 보면 7.exe가 의심이 되긴합니다. 삭제한 파일이 아니라 임의적으로 옮겨놓은 파일이기 때문에..

하지만 좀 더 살펴보면 $INDEX_ROOT 속성 밑에 엔트리 속성이 깨진 속성을 확인할 수 있었습니다. $FILE_NAME이 깨진걸로 확인됨. ( time 4개, file size 2개, file name을 알 수 있는 속성은 $FILE_NAME 이기 때문에 )

이건 제가 *테스트 해본 결과 휴지통에서도 삭제된 파일임을 알 수 있었습니다.

 

이로써 의심되는 이유를 나열하자면 아래와 같습니다.

1. 7.exe

   1) 휴지통에 임의로 넣은 흔적(파일 이름으로 존재)

   Name: 7.exe

   Created Time: 2019-04-27 08:24:04

   Modified Time: 2019-04-27 08:24:04

   MFT Modified Time: 2019-04-27 08:25:17

   Last Accessed Time: 2019-04-27 08:24:04

   Allocated size of file: 0x90000

   Real size of file: 0x8f800

2. x.exe

   1) 휴지통에 임의로 넣은 흔적(파일 이름으로 존재)

   2) 휴지통에서도 삭제한 흔적(깨져있음)

   Name: x.exe

   Created Time: 2019-04-27 10:40:29

   Modified Time: 2019-04-27 10:40:29

   MFT Modified Time: 2019-04-27 10:40:40

   Last Accessed Time: 2019-04-27 10:40:29

   Allocated size of file: 0xf6000

   Real size of file: 0xf5098

 

여기서부터는 제가 따로 테스트한 과정입니다.

안쓰는 usb를 ntfs 파일시스템으로 포맷한 후 진행하였습니다.

E 드라이브 밑에 test라는 폴더를 만들고 그 안에 

aaaaa.txt, bbbbb.txt, ccccc.txt, ddddd.txt, eeeee.txt 라는 파일 5개를 추가했습니다.

그리고나서 winhex로 본 결과

test 폴더 밑에 $INDEX_ROOT 에 aaaaa.txt ~ eeeee.txt로 아주 잘 있습니다.

여기서 제가 ccccc.txt를 삭제해보겠습니다.

ccccc.txt가 없어지고 ddddd.txt가 올라온 모습을 확인할 수 있습니다.

$INDEX_ROOT는 B tree 구조로 되어있기 때문에 삭제되면 그에 맞게 구조가 변하기 때문에 ccccc 대신 ddddd가 올라온 것입니다.

여기서 다시한번 맨 뒤에 있는 eeeee.txt를 삭제해보겠습니다. eeeee.txt 뒤에는 아무 파일도 없는 데 어떤 변화가 나타날까요?

삭제를 했지만 그대로 존재하는 것을 확인했습니다. 물론 $INDEX_ROOT header에서 속성크기가 변한 것을 확인할 수 있었습니다(처음엔 eeeee.txt 까지 포함하는 크기에서 나중에는 위의 사진의 분홍색부분까지만 포함). 또한 시간이나 파일 사이즈, 파일 이름은 안깨졌지만 그 앞의 내용은 깨진 것을 확인할 수 있습니다. 이러한 테스트 결과 x.exe도 $Recycle.Bin 폴더에 존재하다가 삭제했다는 것을 알 수 있었습니다.