[Malware analysis] 암호 걸린 첨부 파일 내 워드문서를 통한 인포스틸러(Emotet) 악성코드 참조- 암호 걸린 첨부 파일로 유포 중인 Emotet 악성코드> https://asec.ahnlab.com/1395> https://jeongzzang.com/150> https://jeongzzang.com/148> https://jeongzzang.com/97 과거와 동일한 형태로 MS 워드 문서의 매크로를 통하여 인포스틸러인 이모텟이 유포되는 것을 확인할 수 있었다. 위 워드 파일의 매크로 부분을 살펴보면 아래와 같이 짜여진 것을 확인할 수 있는데 이후 확인할 것이다. 다음으론 워드 문서를 이용할 땐 매크로 활성화를 위하여 콘텐츠 사용 탭이 보여지는 것을 확인할 수 있다.즉 매크로 [콘텐츠 ..
[Malware analysis] 류크(Ryuk) 랜섬웨어 ② [Malware analysis] 류크(Ryuk) 랜섬웨어 ① ① 다음으로 계속 진행하겠다. 대상 프로세스인 taskhost.exe을 상세분석한 부분이다 암호화와 관련된 Crypt API와 “Microsoft Enhanced RSA and AES Cryptographic Provider” 문자열을 확인할 수 있다. CryptAcquireContext() szContainer에 있는 ”AES_unique_” 컨테이너를 가져오는 것을 확인할 수 있다.이후 CryptImportKey()을 이용하여 RSA 공개키 핸들을 구해 키 지정을 확인할 수 있다. 1. Ransom Note다음을 살펴보면 루프문을 통해 Ransom Note 내용을 저장하는 것을..
- Total
- Today