문제

풀어 보았다.

문제를 다운로드하면 dd 파일이었습니다.
문제 문적으로 plaso를 사용하여 타임 라인을 보는 흐름이므로 plaso를 사용해 보겠습니다.

처음 사용합니다.
먼저 이미지 파일을 구문 분석하기 위해 다음 명령을 실행합니다.



잠시만 기다리겠습니다.



잘 된 것 같습니다.
이렇게하면 diskimage.dd를 db.plaso로 변환하는 과정을 수행하는 것 같습니다.
db.plaso는 plaso로 읽을 수 있는 형식입니다.

변환이 끝나면 타임라인을 만듭니다.



잠시만 기다리겠습니다.



성공한 것 같습니다.

문제문을 보면

どうやら、最初に実行されたダウンローダが、マルウェア本体をダウンロードし実行したことで、不審ホストとの通信が開始されたようです。

라고 적혀 있기 때문에

1 뭔가 exe 실행
2 어딘가에 통신 (exe? 다운로드)
3 다운로드한 것을 실행
4 부정 통신처에 통신 개시

라는 흐름이라고 생각합니다.
상기를 만족하는 곳을 찾아내면 된다고 합니다.

라고 생각하면 로그의 수가 너무 많아서 어쩔 수 없기 때문에, 조금 방침을 바꿉니다.
적어도 시기를 알면 로그를 줄일 수 있습니다.

WEBSITE의 통신 로그로 좁혀 URL의 마지막이 .exe가 되어 있는 것을 찾아 보았습니다만, 없음.

통신 로그만 살펴보면



라는 이상한 통신을 확인할 수 있었습니다. 그냥 정말 수상한지 여부는 알 수 없습니다.
에스퍼로 할 수밖에 없기 때문에, 여기에서는 부정한 통신으로서 둡니다.

「giwiz-newstop.c.yimg.jp」의 최초의 통신을 알고 싶기 때문에 검색합니다.



처음에는 알았는데 그 직전에 뭔가 실행되고있는 것은 아니었기 때문에 부정하지 않을 것 같습니다.

조금 래치가 모르기 때문에, 보통으로 이미지를 본 것이 빠르 것 같습니다.
FTK Imager를 사용하여 이미지를 로드합니다.

데스크톱에 송장 .exe가 있었지만, 이것은 문제 문장에 쓰여진대로, 악성 코드 만 어디에 문제와 관련이 없습니다.



바탕 화면에 또 다른 수상한 폴더가 있으므로 내용을 살펴 보겠습니다.



타임 라인에서 검색하여 몇 가지 히트했지만 어쩐지 확실하지 않았습니다.
하지만 대답에 넣어 보면 정답이었습니다. . .

이것은 불완전 연소입니다. . .