Jigsaw ransomware 를 분석해보자.... 겁나게 생겼네
tool : sysmon, procmon , wireshark, regshot
일단 sysmon을 이용해서 시스탬이 시작하는 과정을 찾아 분석해보자..
시스템을 시작했으니 event_id = 1 일것이다. 그러니 1부터 찾아보자
jigsaw.exe를 찾아 확인해보니 사용자( 나 ) 가 실행한것을 확인 Explorer.EXE // 쉽게 내가 클릭했다는 뜻이다.
그리고는 계속 분석해보니 jigsaw.exe 가 drpbx.exe를 실행시킨것을 확인
network (event_id =3) 를 확인해보니 drpbx.exe 가 활동한 내역이 찍힘
dst ip = 104.16.149.172
마찬가지로 ip 104.16.8.251
procmon 툴을 이용해서 drpbx.exe 내역조회,, 사실 이전에 jigsaw.exe 활동을 찍어놨어야되는대... 마지막에 정리본으로.. 대체 ㅎㅎ
쨋든 drpbx.exe 가 읽고쓰고를 반복한다.-> 암호화중
jigsaw.exe 가 firefox.exe로 덮어쓰는것을 확인, 자기자신을 복사해서 fiefox.exe로 둔갑한다.
사용자로 하여금 의심하지 않도록 한뒤 , 자신을 복제해서 다음 부팅때 다시 실행키킨다.
마지막으로 wireshark를 통한 ip조회.. 조회를 해보니 coinbase라는 곳이 나온다 .
아마도 돈을 요구하는 사이트인듯
정리!!
'랜섬웨어 프로젝트 > 랜섬웨어 분석(동적)' 카테고리의 다른 글
| [malware] Satana.exe malware analysis (0) | 2018.04.12 |
|---|---|
| [malware] TeslaCrypt.exe malware analysis (0) | 2018.04.12 |
| [Ransomware] Cerber malware analysis (0) | 2018.04.12 |
댓글