x64dbg 자바스크립트 난독화 분석

본 작성자는 초급 분석가이며 많은 피드백 환영합니다.

이번 자바스크립트 난독화 분석 건은 최근 언로보도 "https://www.boannews.com/media/view.asp?idx=71964&page=2&kind=1" 에 기재된 GandCrab 랜섬웨어 유포를 위한 자바스크립트 입니다.

스크립트 파일을 열어보면 아래와 같이 난독화가 되어있다.

해당 스크립트는 난독화가 어렵게 되어있어 x64dbg로 풀어볼 것이다.

dll은 아래와 같이 load 하였다.

ShellExecute, InternetCreateUrl, CreateFile 3개에 BP를 걸었다.

각 함수에 BP를 건 이유

ShellExecute = PowerShell 또는 cmd 사용하여 실행하는지 확인

InternetCreateUrl = C&C확인 또는 실행파일 다운로드 하는지 확인

CreateFile = 다운로드된 파일 확인 및 확장자, 파일명 변경 확인

스택창에 난독화로 추정되는 URL이 확인된다.

역시 난독화 되어있는 것으로 추정된다.

계속 실행하면 아래와같이 C&C로 확인되는 URL에서 실행파일이 다운로드 되는 것을 확인 할 수 있다.

특정 ip에서 파일을 다운로드 하는 것을 알 수 있다.

CreateFile에서 랜덤명.scr로 파일이름과 확장자를 변경하는 것을 확인 할 수 있다.

최종적으로 ShellExecute함수를 사용하여 실행파일을 실행한다.