본문 바로가기

랜섬웨어 프로젝트5

[malware] Satana.exe malware analysis Satana analysis!! Use Tool : Sysmon, procmon, regshot, wireshark 1. Sysmon Run satana.exe 자식프로세스 실행! ( 자기자신) cnsjwndg.exe (이름은 매번 변경됨) 생성, 실행 cnsjwndg.exe 역시 자식프로세스 실행 ( 자기자신 ) 2. Procmon. cnsjwndg.exe 가 Writefile 된 시점을 발견즉 생성되었음을 확인 satana.exe 가 네트워크를 했던 흔적을 찾음(연결은 되지않음) cnsjwndg.exe가 암호화가 되기 시작한 시점 cnsjwndg.exe 가 경고메시지를 write 한 시점 3. Regshot Run register 가 add 된것을 확인( 컴퓨터 실행시 무조건 !satana.txt 띄.. 2018. 4. 12.
[malware] TeslaCrypt.exe malware analysis summary malware dynamic analsis Use tool : procmon, sysmon, regshot, wireshark 1. Sysmon 처음 실행 TeslaCrypt 를 실행 TeslaCrypt 가 다시 자기 자신을 실행 2번째 실행된 TeslaCrypt가 htsvasr.exe 를 실행( 아마 hysvarsr의 이름은 계속 바뀜) 생성된 프로그램이 다시 생성된 프로그램을 실행htsvasr.exe -> htsvasr.exe TeslaCrypt 가 cmd를 실행시켜 RANSOM~1.TES~ 파일을 삭제 htsvasr.exe -> iexplore.exe 를 실행(네트워크 접근 ) htsvasr.exe -> shawdws 파일을 삭제vssadmin.exe ( 윈도우 스냅샷을 저장한곳 , .. 2018. 4. 12.
[Ransomware] Cerber malware analysis tool : sysmon, wirshark, procmon, regshot Sysmon. run Cerber.exe run self Cerber.exe Cerber.exe -> cmd.exe cmd.exe -> taskkill /f /im Cerber.exe .Procmon File Write start Encryption... port 54608 -> ip scan .WhreShark find port Scaning 2018. 4. 12.
[Ransomware] Jigsaw malware analysis Jigsaw ransomware 를 분석해보자.... 겁나게 생겼네 tool : sysmon, procmon , wireshark, regshot 일단 sysmon을 이용해서 시스탬이 시작하는 과정을 찾아 분석해보자.. 시스템을 시작했으니 event_id = 1 일것이다. 그러니 1부터 찾아보자jigsaw.exe를 찾아 확인해보니 사용자( 나 ) 가 실행한것을 확인 Explorer.EXE // 쉽게 내가 클릭했다는 뜻이다. 그리고는 계속 분석해보니 jigsaw.exe 가 drpbx.exe를 실행시킨것을 확인 network (event_id =3) 를 확인해보니 drpbx.exe 가 활동한 내역이 찍힘 dst ip = 104.16.149.172 마찬가지로 ip 104.16.8.251 procmon 툴을 이.. 2018. 4. 12.
01. IDA 준비 IDA proIDA(Interactive DisAssembler)는 컴퓨터 소프트웨어 용 디스어셈블러이다. 디스어셈블러는 기계어 코드로부터 어셈블리어 소스 코드를 생성한다. 이것은 다양한 실행 파일과 중앙 처리 장치 그리고 운영 체제를 지원한다. 또한 Windows PE, Mac OS X Mach-O, 그리고 리눅스 ELF 실행 파일에 대해서는 디버거로 사용할 수 있다. C/C++ 컴파일러로 컴파일된 프로그램은 디컴파일러 플러그인은 추가 요금을 통해 사용할 수 있다. 최신 버전의 IDA Pro는 상업용이지만, 기능이 조금 부족한 옛날 버전은 무료로 다운로드할 수 있다(2015년 12월의 경우 버전 5.0). // 위키 결론적으로 IDA 는 디스어셈블러 소프트웨어중 가장 강력한 기능을 자랑하는 !!! 툴 .. 2017. 11. 30.

티스토리툴바