Study/랜섬웨어7 랜섬웨어 샘플 분석 (5) Buster Sandbox Analyzer : RegDiff Buster Sandbox Analyzer를 이용한 분석 (5)[ RegDiff.txt ]분석 환경 : Windows 7 기존의 레지스트리와 달라진 레지스트리를 확인한다. 랜섬웨어는 자기 자신을 복제한다. 아래의 경로 (...\Roaming)에 존재하는 rdsytpf.exe가 원본 랜섬웨어의 복제 파일이다. machine\software\microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43\Blob = 190000000100000010000000749966CECC95C1874194CA7203F9B6200300000001000000140000000563B8630D62D75ABBC8AB1E4BDFB.. 2016. 7. 6. 랜섬웨어 샘플 분석 (4) Buster Sandbox Analyzer : Log_API 참고 도서 : [Practical Malware Analysis: 실전 악성코드와 멀웨어 분석] 저자 : 마이클 시코스키, 앤드류 호닉출판사 : 에이콘 참고 사이트 :- [Microsoft] GetModuleHandle function- [Solvusoft] Vssadmin.exe은(는) 무엇이고 어떻게 해결하죠?- [다시 시작하는 윈도우 프로그래밍] 메모리 이야기 (2)- [zrungee library] 안티디버깅 - IsDebuggerPresent- [Zero's hobby blog.] [winAPI] ProcessToken, AccessToken- [egloos] [API] 핸들이란 무엇인가- [머리 속 하드디스크] 윈도우 핸들 (Window Handle Object)- [티고니세상] 프로세스에 관.. 2016. 7. 5. 랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff 참고 사이트 : - [Sandboxie] Buster Sandbox Analyzer Buster Sandbox Analyzer를 이용한 분석 (3)[ FileDiff.txt ]분석 환경 : Windows 7 기존의 파일들과 달라진 파일들을 확인할 수 있다. 각 줄의 앞에 붙어있는 기호의 의미는 아래와 같다. 기호 의미 + A new file : A file that is not present in real disk so it's created. - A deleted file : A file that being present in real disk and that was deleted. ~ A modified file : A file that was changed. = A copied file : Sand.. 2016. 7. 5. 랜섬웨어 샘플 분석 (2) Buster Sandbox Analyzer : Connections 참고 사이트 :- [hbesthree님의 블로그] WPAD 자동 프록시 설정 정보 가져오기- [WIKIPEDIA] Web Procy Autodiscovery Protocol Buster Sandbox Analyzer를 이용한 분석 (2)[ Connections.txt ]분석 환경 : Windows 7 동작하는 API 함수를 확인한다. 현재 분석 환경이 Windows 7이기 때문에 윈도우 함수를 사용한다. DNS Query(ipinfo.io) ipinfo.io 사이트의 IP 주소를 물어보는 Query를 날린다. cmd의 nslookup을 이용한 결과 ipinfo.io에 해당하는 IP 주소는 54.183.37.222가 나온다. OUT,TCP - HTTP,192.168.110.138,52.9.2.194:80,.. 2016. 7. 5. 랜섬웨어 샘플 분석 (1) Buster Sandbox Analyzer : Analysis 참고 사이트 : - [ITPro] What's Automated Deployment Services (ADS)? Buster Sandbox Analyzer를 이용한 분석 (1)[ Analysis.txt ]분석 환경 : Windows 7 Report generated with Buster Sandbox Analyzer 1.88 at 00:52:32 on 21/05/2016Detailed report of suspicious malware actions: Aanalysis는 전반적인 분석에 대한 내용이 들어 있다. 알파벳 순서대로 나타나 있기 때문에 실제 발생 순서와는 다르다.또한 현재 분석된 Analysis의 경우, 후에 풀이한 분석 결과들과는 달리 새롭게 돌린 내용이기 때문에 아래와 같은 점이 다르다. .. 2016. 7. 5. 이전 1 2 다음
