꿈 꾸는 사람

Oracle Virtual Box에서 운영되는 OS 동작을 녹화할 수 있는 기능에 대해 확인해보고자 한다. 간단할 수 있지만, 필자는 어제 확인하고 사용해 본 내용이라 같이 공유하고자 한다.

우선 위 그림 순서대로 진행을 하면 된다. 5번 이후에 해상도를 맞출 때, 한가지 주의사항이 존재한다. 그것은 OS에서 사용하는 비디오 해상도를 확인하고, 그 해상도에 맞춰 비디오 캡쳐에 사용할 해상도를 결정해야 알맞게 비디오가 녹화가 된다는 것이다.

해당 녹화된 파일은 위 그림에 존재하는 파일 경로에 존재하게 된다. 녹화는 간단하게 아래와 같이 설정하여 녹화를 진행하면 된다.

훗날 사용할 수도 있어서 블로그에 게시한다.

원격 지원 프로그램 중 supremo 프로그램이 존재하는데 해당 프로그램 실행 시, HTTP 통신 (POST)를 통해 주기적인 Communication이 이뤄지고 있음이 확인된다.

최초에는 해당 HTTP POST 통신이 주기적으로 이뤄지고 있고, 해당 통신이 이뤄지는 서버에 접속 시, Directory Listing 되며, 해당 디렉토리 내부의 파일이 보여짐에 따라 악의적인 서버와의 통신이 아닐까 생각하였다.

추가적인 확인 결과 RTC Gateway를 이용한 원격 통신 형태의 한 형식임을 확인하였다. RTC란, Real Time Communication의 약자로 브라우저 간의 통신으로 메시지, 영상, 음성 데이터를 주고 받을 수 있도록 해주는

일종의 규격으로 이해를 했다. 이것은 W3C에서 제시되었다고 한다. 

아래와 같은 통신을 진행한다. 

자세한 사항은 추후에 좀 더 찾아봐야하겠다. 

일반적인 PC 사용자들은 index.dat 파일에 대해서 알지 못할 것으로 판단된다. index, 색인이라는 뜻을 가진 이 파일의 의미는 무엇일까? 1차적으로 확인해 본 결과 PC 사용자가 접근한 Online 정보 (URL 접속 정보 등) 및 파일 접근 경로 등에 대한 정보를 가지고 있다.

PC에서 이 파일을 가지고 있는 이유는 무엇일까? 알려진데로 index.dat에 기록된 접근 경로를 다시 접근할 때, index.dat 파일을 참조하여 접근할 수 있도록 하여 사용자가 원하는 접근의 속도를 향상 시키기 위함에 있다고 볼 수 있다.

CPU와 메모리 사이에 cache가 존재하여 CPU와 메모리 사이의 속도 차이를 개선/극복하듯이 이 또한 유사한 원리를 통해 사용자의 PC 사용을 원활케 한다. 모든 편리함 혹은 기능 개선을 위한 기술을 악용하는 공격자가 존재할 수 있는데, index.dat 파일을 이용한 악의적인 행위를 우리는 확인해 볼 수 있다.

궁금해하는 누군가가 무엇을 하는지? 무엇에 관심이 있는지? 물음을 가지고 있다면 이 파일을 이용할 수 있을 것이다. 어느 날, 누군가가 어제 밤 어디어디 사이트에 접속하셨군요, 어디어디에 관심있으세요? 라고 물어온다면

단순히 중간에서 스니핑한 것이 아니라 자신의 시스템에 악성 코드 혹은 애드웨어의 감염을 의심해봐야한다.

악성코드/애드웨어는 index.dat 파일의 내용을 기반으로 특정 사이트 접근 시, 팝업 혹은 특정 악성 행위를 수행하도록 할 수 있으며, 다수의 시스템 감염으로 확보된 index.dat 파일을 기반으로 통계 데이터 생성 후, 2차 행위를 수행할 수 있을 것이다.

참고 사이트 : http://forensic-proof.com/archives/243

               https://en.wikipedia.org/wiki/Index.dat