#20250214
메인 서버에 악성코드 공격 후 흔적 탐지
-서버 로그 기록
[auth.log]
2025-02-14T11:11:21.912526+09:00 mail sshd[1685]: Accepted publickey for master from 192.168.0.209 port 57648 ssh2: ED25519 SHA256:g41apAHOw6H/tQSV+UxxAsF4Dc/B4Vz72xnrQDC6X54
-이메일 파일
> 이메일 로그 IP 존재 확인
[mail.log]
2025-02-14T11:01:38.131256+09:00 mail sm-mta[1344]: 51E21Nnt001344: from=<st@mail.st.kr>, size=101255, class=0, nrcpts=1, msgid=<9cec8f4aefa7d251a20bd5ec60968d9cbe5e9a48.camel@mail.st.kr>, proto=ESMTP, daemon=MTA-v4, relay=[192.168.0.9]
2025-02-14T11:01:38.203596+09:00 mail sm-mta[1364]: 51E21Nnt001344: to=<master@mail.st.kr>, ctladdr=<st@mail.st.kr> (1001/1001), delay=00:00:14, xdelay=00:00:00, mailer=local, pri=131435, dsn=2.0.0, stat=Sent
2025-02-14T11:01:38.640429+09:00 mail dovecot: imap-login: Login: user=, method=PLAIN, rip=192.168.0.9, lip=10.0.2.15, mpid=1367, session=<nmEXjhAuTuDAqAAJ>
[syslog]
2025-02-14T11:01:38.131256+09:00 mail sm-mta[1344]: 51E21Nnt001344: from=<st@mail.st.kr>, size=101255, class=0, nrcpts=1, msgid=<9cec8f4aefa7d251a20bd5ec60968d9cbe5e9a48.camel@mail.st.kr>, proto=ESMTP, daemon=MTA-v4, relay=[192.168.0.9]
2025-02-14T11:01:38.203596+09:00 mail sm-mta[1364]: 51E21Nnt001344: to=<master@mail.st.kr>, ctladdr=<st@mail.st.kr> (1001/1001), delay=00:00:14, xdelay=00:00:00, mailer=local, pri=131435, dsn=2.0.0, stat=Sent
2025-02-14T11:01:38.640429+09:00 mail dovecot: imap-login: Login: user=, method=PLAIN, rip=192.168.0.9, lip=10.0.2.15, mpid=1367, session=<nmEXjhAuTuDAqAAJ>
> 관리자에게 보낸 악성코드 찾기 - 인코딩 되어 있는 값 디코딩 후 해시값 비교
/var/mail/master 파일 export
ip09.exe 찾기.
exe 파일 인코딩 값 확인.
Windows Powershell
>> $base64String = "악성코드 인코딩 값"
>> [system.IO.File]::WriteAllBytes("decoded.exe", [Convert]::FromBase64String($base64String))
C:\Users\PC9\decoded.exe 파일의 해시값 구해보면 원본 악성코드의 해시값과 동일한 것을 확인할 수 있다.
-서버 로그 기록
[auth.log]
2025-02-14T11:11:21.912526+09:00 mail sshd[1685]: Accepted publickey for master from 192.168.0.209 port 57648 ssh2: ED25519 SHA256:g41apAHOw6H/tQSV+UxxAsF4Dc/B4Vz72xnrQDC6X54
-이메일 파일
> 이메일 로그 IP 존재 확인
[mail.log]
2025-02-14T11:01:38.131256+09:00 mail sm-mta[1344]: 51E21Nnt001344: from=<st@mail.st.kr>, size=101255, class=0, nrcpts=1, msgid=<9cec8f4aefa7d251a20bd5ec60968d9cbe5e9a48.camel@mail.st.kr>, proto=ESMTP, daemon=MTA-v4, relay=[192.168.0.9]
2025-02-14T11:01:38.203596+09:00 mail sm-mta[1364]: 51E21Nnt001344: to=<master@mail.st.kr>, ctladdr=<st@mail.st.kr> (1001/1001), delay=00:00:14, xdelay=00:00:00, mailer=local, pri=131435, dsn=2.0.0, stat=Sent
2025-02-14T11:01:38.640429+09:00 mail dovecot: imap-login: Login: user=
[syslog]
2025-02-14T11:01:38.131256+09:00 mail sm-mta[1344]: 51E21Nnt001344: from=<st@mail.st.kr>, size=101255, class=0, nrcpts=1, msgid=<9cec8f4aefa7d251a20bd5ec60968d9cbe5e9a48.camel@mail.st.kr>, proto=ESMTP, daemon=MTA-v4, relay=[192.168.0.9]
2025-02-14T11:01:38.203596+09:00 mail sm-mta[1364]: 51E21Nnt001344: to=<master@mail.st.kr>, ctladdr=<st@mail.st.kr> (1001/1001), delay=00:00:14, xdelay=00:00:00, mailer=local, pri=131435, dsn=2.0.0, stat=Sent
2025-02-14T11:01:38.640429+09:00 mail dovecot: imap-login: Login: user=
> 관리자에게 보낸 악성코드 찾기 - 인코딩 되어 있는 값 디코딩 후 해시값 비교
/var/mail/master 파일 export
ip09.exe 찾기.
exe 파일 인코딩 값 확인.Windows Powershell
>> $base64String = "악성코드 인코딩 값"
>> [system.IO.File]::WriteAllBytes("decoded.exe", [Convert]::FromBase64String($base64String))
C:\Users\PC9\decoded.exe 파일의 해시값 구해보면 원본 악성코드의 해시값과 동일한 것을 확인할 수 있다.