[Malware analysis] 류크(Ryuk) 랜섬웨어 ①
[Malware analysis] 류크(Ryuk) 랜섬웨어 헤르메스(Hermes) 랜섬웨어 변종으로 분류되는 류크 랜섬웨어는 표적형 랜섬웨어로 알려져 있다.특정 조직 및 기업을 대상으로 유포하는 특징이며, 헤르메스 랜섬웨어와 유사하다. 또한, 확장자를 변경하지 않는 것을 확인할 수 있다. 살펴보자. 1. 원본 파일 삭제 및 파일 생성루프문을 통해 C: (0x43 0x3A)을 복사 후 해당 문자열 뒤에 \users\public을 추가 복사하는 것을 확인할 수 있다. 해당 루틴을 통해 파일명(vWQql.exe)을 생성한 후 .exe 확장자를 복사하는 것을 확인할 수 있다. 파일명은 매번 랜덤하게 생성되는 것을 확인할 수 있다. 이후 메모리에 저장한 후 CreateFile()을 이용하여 C:\users\pub..
Reversing/Malware analysis
2020. 10. 6. 14:54
[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일
[Malware analysis] 주문 요청에 대한 첨부파일 열람 유도한 피싱 메일 워드문서를 가장한 이메일 패스워드 입력을 유도하는 로그인 페이지가 나오게 된다.계정정보는 미리 입력되어 있으며 패스워드를 입력하도록 유도하는 걸 확인 할 수 있다.패스워드 입력 후 국내 정상 사이트로 리다이렉트가 되어 정상적인 접근으로 착각할 수 있다. 패스워드 입력 시 POST 메소드를 통하여 C&C 주소로 전송되는 걸 확인 할 수 있다. 이메일 페이지를 사칭한 피싱사이트를 통해 사용자 계정 정보 탈취를 확인 할 수 있다.
Reversing/Malware analysis
2020. 10. 6. 09:06
250x250
공지사항
최근에 올라온 글
최근에 달린 댓글
- Total
- Today