주제: Empire 공격으로 인해 생기는 Window artifact 분석

<Fileless 공격 & Memory 분석>

[프로젝트 내용]

<공격>

Empire module 중에서 privesc 모듈 몇가지, collection/screenshot, collection/prompt collection/clipboard_monitor, collection/browser_data, collection/packet_capture 모듈,

credentials/mimikatz 모듈은 사용을 시도했으나 Window10에서는 작동하지 않았음.

사용한 모듈에 대해서는 Empire github 코드 분석을 시도하였음. (코드분석을 시도한 이유는 artifact 분석에 도움이 될까해서)

<Live response 분석>

Window artifact 분석을 하면서 Window 10의 registry 확인, Process monitor로 분석

<메모리 분석> (artfiact에 남지 않는 내용까지, 위에 <분석>에 없는 것)

Volatility3을 활용해 Window 10 최신 빌드 분석. 앞에 Empire 공격 실행한 Window10 vmem을 대상으로 volatility로 분석하려고 함. (fileless 공격이기 때문에 메모리 분석을 시도한 것임.)

volatility도 window10 vmware 메모리 덤프 파일 *.vmem 분석이 되지 않았음

⇒ volatility3 사용 / windows8.vmem volatility로 분석되는 지 확인 필요

[결론]