본문 바로가기

랜섬웨어6

랜섬웨어 샘플 분석 (5) Buster Sandbox Analyzer : RegDiff Buster Sandbox Analyzer를 이용한 분석 (5)[ RegDiff.txt ]분석 환경 : Windows 7 기존의 레지스트리와 달라진 레지스트리를 확인한다. 랜섬웨어는 자기 자신을 복제한다. 아래의 경로 (...\Roaming)에 존재하는 rdsytpf.exe가 원본 랜섬웨어의 복제 파일이다. machine\software\microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43\Blob = 190000000100000010000000749966CECC95C1874194CA7203F9B6200300000001000000140000000563B8630D62D75ABBC8AB1E4BDFB.. 2016. 7. 6.
랜섬웨어 샘플 분석 (4) Buster Sandbox Analyzer : Log_API 참고 도서 : [Practical Malware Analysis: 실전 악성코드와 멀웨어 분석] 저자 : 마이클 시코스키, 앤드류 호닉출판사 : 에이콘 참고 사이트 :- [Microsoft] GetModuleHandle function- [Solvusoft] Vssadmin.exe은(는) 무엇이고 어떻게 해결하죠?- [다시 시작하는 윈도우 프로그래밍] 메모리 이야기 (2)- [zrungee library] 안티디버깅 - IsDebuggerPresent- [Zero's hobby blog.] [winAPI] ProcessToken, AccessToken- [egloos] [API] 핸들이란 무엇인가- [머리 속 하드디스크] 윈도우 핸들 (Window Handle Object)- [티고니세상] 프로세스에 관.. 2016. 7. 5.
랜섬웨어 샘플 분석 (3) Buster Sandbox Analyzer : FileDiff 참고 사이트 : - [Sandboxie] Buster Sandbox Analyzer Buster Sandbox Analyzer를 이용한 분석 (3)[ FileDiff.txt ]분석 환경 : Windows 7 기존의 파일들과 달라진 파일들을 확인할 수 있다. 각 줄의 앞에 붙어있는 기호의 의미는 아래와 같다. 기호 의미 + A new file : A file that is not present in real disk so it's created. - A deleted file : A file that being present in real disk and that was deleted. ~ A modified file : A file that was changed. = A copied file : Sand.. 2016. 7. 5.
랜섬웨어 샘플 분석 (1) Buster Sandbox Analyzer : Analysis 참고 사이트 : - [ITPro] What's Automated Deployment Services (ADS)? Buster Sandbox Analyzer를 이용한 분석 (1)[ Analysis.txt ]분석 환경 : Windows 7 Report generated with Buster Sandbox Analyzer 1.88 at 00:52:32 on 21/05/2016Detailed report of suspicious malware actions: Aanalysis는 전반적인 분석에 대한 내용이 들어 있다. 알파벳 순서대로 나타나 있기 때문에 실제 발생 순서와는 다르다.또한 현재 분석된 Analysis의 경우, 후에 풀이한 분석 결과들과는 달리 새롭게 돌린 내용이기 때문에 아래와 같은 점이 다르다. .. 2016. 7. 5.
랜섬웨어의 종류 참고 링크 : - [나무위키] 랜섬웨어- [ViRobot] [보안정보] 알기 쉬운 랜섬웨어(Ransomware)- [한국랜섬웨어침해대응센터] 랜섬웨어 종류 2005년부터 랜섬웨어가 대량으로 출몰하기 시작하였으며, 2013년까지 유행하던 유형은 화면을 잠그고 사용자들의 불편을 초래하거나 불안감을 조성하여 금전을 요구하는 방식이었다. 초기의 랜섬웨어는 유럽, 북마 등에서 많은 사용자들에게 피해를 입혔으며 마이크로소프트사의 보안 패치 및 안전모드로 부팅하는 등의 대응법이 계속 발전하자 2013년 중요 문서들을 암호화 시키는 Crypt0L0cker가 출현하게 되었다. Crypt0L0cker는 RSA-2048 등의 암호화를 사용하여 공격자가 아니면 암호화를 해제하기 힘들게 제작되었기 때문에 많은 피해가 발생하였다.. 2016. 6. 27.