**BlueTeam**에 대한 공부를 할 수 있는 좋은 워게임 사이트에서 BlackEnergy 라는 문제를 가져왔다.

BlackEnergy란?

DDos 트로이 악성코드
2008년 러시아와 조지아의 갈등 관계에서 조지아로의 사이버 공격에 사용
현대적 Rootkit과 Process Injection 기술, 강한 암호화, 현대적 구조를 가짐.

Untitled

시나리오

A multinational corporation has been hit by a cyber attack that has led to the theft of sensitive data.
The attack was carried out using a variant of the BlackEnergy v2 malware that has never been seen before.
The company's security team has acquired a memory dump of the infected machine,
and they want you to analyze the dump to understand the attack scope and impact.

기업에서 사이버 공격을 당했다고 한다.

공격을 당했을 때 민감한 데이터를 같이 유출된 것으로 파악한다.

이번 사이버 공격은 BlackEnergy v2 Malware의 변종을 사용하여 수행이 되었고, 회사 보안 팀에서 감염된 기계의 메모리 덤프 파일을 입수하여 공격 범위와 영향력 등 파악을 하고 있다.

분석 대상 및 이미지 정보

File Name	CYBERDEF-567078-20230213-171333.raw
File Size	2,150,563,840 바이트
CRC32	dbca3b6f
MD5	d210758ce8e9f6ee0532ea61ec7c69ac
SHA-1	40f217b7e5bd20057fe82815479a48b8796677b7

사용 플러그인 및 분석 과정

이미지 정보 : Imageinfo
프로세스 검사 : pslist, pstree, psxview, connscan, connections
수상한 프로세스 검출 : 프로세스 이름, 부모/자식 관계, 숨긴 프로세스, 실행 시간 점검
DLL 검사 : malfind, dlllist, vadinfo, ldmodules
후킹 검사 : apihooks, threads -F, HookedSSDT
Kernel Drive 검사 : callbacks, modules, deviceirp, devicetree