Scribd
Upload
158 views4 pages

For526 Handout Apt-Answers

Uploaded by

Anh Tuấn Nguyễn
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
158 views4 pages

For526 Handout Apt-Answers

Uploaded by

Anh Tuấn Nguyễn
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
You are on page 1/ 4

APT

COMPROMISED HOST ANSWERS


APT Exercise – Answers 

# vol.py –f APT.img --profile=WinXPSP3x86


pstree

You can see from the above that the iexplore.exe (PID 796) was spawned from svchost.exe (pid 884).  If you inspected 
the volatility getsids output for PID 796 you will notice that iexplore.exe is running as a SYSTEM user.  Both of these 
occurrences is very odd and not normal.  Iexplore.exe should be launched from explorer.exe and should be running as 
a user process. 

# vol.py –f APT.img --profile=WinXPSP3x86


connscan

For526 - SANS ©2013 APT Malware Exercise 1


In the connscan output above, you notice that PID 796 (iexplore.exe) is connecting to a remote system on port 89.  
Usually http traffic is directed on port 80 or 443 only.  Again this would be a very odd thing to witness for a program.  
This makes the iexplore.exe process very suspicious indeed. 

# vol.py –f APT.img --profile=WinXPSP3x86


dlllist –p 796

When you examine the dlllist output for PID 796 (iexplore.exe) you will notice that there is a rogue named dll which is 
hard to see.  Irykmmww.d1l is named odd because the dll is spelled with a 1 (one) in the second letter where an l 
(lower case L) should be seen.   
So  it  looks  as  though  PID  796  is  malware,  but  it  is  clear  that  it  isn’t  started  normally.    If  you  tried  to  see  if  the 
svchost.exe was injected it would fail and not show up.  Svchost.exe is not injected.  So how does the malware start 
on the system? 

# vol.py –f APT.img --profile=WinXPSP3x86


svcscan

For526 - SANS ©2013 APT Malware Exercise 2


When  we  run  the  svcscan  (Service  Scan)  plugin  for  volatility,  we  notice  a  driver  running  on  the  system  called 
irykmmww  which  is  the  same  named  rogue  dll  spotted  earlier.    To  figure  out  what  this  driver  is  doing,  we  should 
check driver hooking in apihooks and ssdt. 

# vol.py –f APT.img --profile=WinXPSP3x86


ssdt | grep -v ntoskrnl | grep -v win32k

Finally we can tell the driver irykmmww.sys is a rootkit loaded in the system.  Clearly it is meant to do file hiding and 
more. 
Here is some additional information on the IP address found earlier in our output of connscan.
DNS INFORMATION FOR 218.85.133.23

For526 - SANS ©2013 APT Malware Exercise 3


Excerpt from malware report on the malware. 
 The malware will create the device  \Device\irykmmww (NT namespace) and  \\.\irykmmww (“Win32” namespace), and 
the driver \Driver\irykmmww.  These will be visible with normal tools such as “Winobj”. 
 The  malware  may  hide  at  least  one  instance  of  an  IExplore.exe  process  such  that  it  is  detectable  only  with  memory 
forensics 
 The malware may hide other processes such that they are only detectable with memory analysis 
 The malware kernel driver runs as a service named irykmmww with a Description of irykmmww.  This service may not appear 
in the service list, but may be directly queried with, for example, “sc query irykmmww” 
 Files, directories, registry keys, and registry values starting with the name  irykmmww may be hidden unless you are using 
memory forensics to see it 
 The DLLs irykmmww.d1l (D‐one‐L) or irykmmww.dll may appear in a process module listing, although the files themselves 
may remain hidden due to the rootkit. 
 The malware will make HTTP requests to 218.85.133.23 on TCP port 89 
 The malware may make HTTP requests with the URI /index.asp?<number> with no User‐Agent 
 

For526 - SANS ©2013 APT Malware Exercise 4

You might also like

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy