반응형
이번 분석 건은 Javascript 난독화 분석 입니다.
난독화라기 보다는 변수명들만 보기가 어렵게 되어있습니다.
요즘 매우 이슈가 되고있는 GandCrab 4.3을 Javascript를 사용하여 유포하고 있습니다.
본 작성자는 초급 분석가이며, 많은 피드백 환영합니다.
아래 그림은 행위 순서이다.
각 주요 행위마다 변수를 설정한다.
랜섬노트가 생성 되었다는 것은 랜섬웨어 행위가 제대로 동작한다 라는 것을 의미하여 변수 값을 2 설정하여 특정 url에 송신한다.
실행 중인 프로세스들을 수집하여 특정 url에 전송한다. 무엇을 의미하는지는 자세히 모르겠다.
실행파일을 특정 경로에 생성 및 파일 명을 설정한다. 그리고 변수 값을 0으로 설정하며,
실행파일을 base64 디코딩 후에 GandCrab을 실행한다. 이때 변수 값을 1로 설정한다.
Base64 디코딩한 실행파일이다. 파일 시그니처가 MZ(4D5A) 임을 확인할 수 있다.
GandCrab 행위가 끝나고 바탕화면에 랜섬노트가 생성 되면 변수 값을 2로 설정한다.
감사합니다.
반응형
'리버스 엔지니어링 > 난독화 스크립트 분석' 카테고리의 다른 글
PowerShell을 이용한 GandCrab 5.0.4 (FileLess) -2 (0) | 2018.12.23 |
---|---|
PowerShell을 이용한 GandCrab 5.0.4 (FileLess) (0) | 2018.11.24 |
x64dbg 자바스크립트 난독화 분석 (0) | 2018.08.04 |
x64dbg를 활용한 난독화 스크립트 분석 -2 (0) | 2018.07.15 |
x64dbg를 활용한 doc 난독화 스크립트 분석 (0) | 2018.07.15 |