반응형
이번 분석건은 PowerShell을 이용하여 메모리에서 랜섬웨어를 실행하는 Fileless GandCrab 입니다.
아래 URL과 동일한 방식인 것으로 확인됩니다.
분석 방식은 x64dbg, OllyDbg, gflags 를 사용하여 분석하였습니다.
sample.js 를 불러오면 위와 같이 난독화 된 문자열들이 확인된다.
해당 JavaScript를 복호화를 해 보면 아래와 같다.
기존 GandCrab JavaScript 는 백신우회, 랜섬웨어 드랍 및 실행을 하였지만,
위 스크립트를 보면 PowerShell을 통해 log파일을 실행 시키는 것을 확인할 수 있다.
log파일을 불러오면 Base64로 인코딩 된 특정 문자열들을 확인할 수 있습니다.
Base64 디코딩을 해 보면 아래와 같이 출력됩니다.
PowerShell 명령어들로 확인되며, 난독화 된 문자열들은 바이너리로 추정된다.
많은 시행착오 끝에 바이너리가 확인이 되었으며, 해당 바이너리는 아래와 같다.
스크립트를 디버거를 통해 분석 중에 파일시그니처 중 MZP를 확인하였으며,
PEInfo로 확인결과 DelPhi로 확인됐다.
아쉽게도 복호화 알고리즘은 찾지 못하였다.
DelPhi를 분석 중에 특정 복호화 알고리즘을 찾았으며, GandCrab으로 확인됐다.
덤프를 해서 String을 확인 해 보니 GandCrab인 것으로 확인됐다.
감사합니다.
반응형
'리버스 엔지니어링 > 난독화 스크립트 분석' 카테고리의 다른 글
PowerShell을 이용한 GandCrab 5.0.4 (FileLess) -2 (0) | 2018.12.23 |
---|---|
GandCrab 4.3 Javascript 분석 (3) | 2018.08.14 |
x64dbg 자바스크립트 난독화 분석 (0) | 2018.08.04 |
x64dbg를 활용한 난독화 스크립트 분석 -2 (0) | 2018.07.15 |
x64dbg를 활용한 doc 난독화 스크립트 분석 (0) | 2018.07.15 |