[Malware analysis] 류크(Ryuk) 랜섬웨어 ② [Malware analysis] 류크(Ryuk) 랜섬웨어 ① ① 다음으로 계속 진행하겠다. 대상 프로세스인 taskhost.exe을 상세분석한 부분이다 암호화와 관련된 Crypt API와 “Microsoft Enhanced RSA and AES Cryptographic Provider” 문자열을 확인할 수 있다. CryptAcquireContext() szContainer에 있는 ”AES_unique_” 컨테이너를 가져오는 것을 확인할 수 있다.이후 CryptImportKey()을 이용하여 RSA 공개키 핸들을 구해 키 지정을 확인할 수 있다. 1. Ransom Note다음을 살펴보면 루프문을 통해 Ransom Note 내용을 저장하는 것을..
[Malware analysis] 류크(Ryuk) 랜섬웨어 헤르메스(Hermes) 랜섬웨어 변종으로 분류되는 류크 랜섬웨어는 표적형 랜섬웨어로 알려져 있다.특정 조직 및 기업을 대상으로 유포하는 특징이며, 헤르메스 랜섬웨어와 유사하다. 또한, 확장자를 변경하지 않는 것을 확인할 수 있다. 살펴보자. 1. 원본 파일 삭제 및 파일 생성루프문을 통해 C: (0x43 0x3A)을 복사 후 해당 문자열 뒤에 \users\public을 추가 복사하는 것을 확인할 수 있다. 해당 루틴을 통해 파일명(vWQql.exe)을 생성한 후 .exe 확장자를 복사하는 것을 확인할 수 있다. 파일명은 매번 랜덤하게 생성되는 것을 확인할 수 있다. 이후 메모리에 저장한 후 CreateFile()을 이용하여 C:\users\pub..
- Total
- Today