Monster

이번 분석 건은 최근 9월 달에 NullSoft 설치파일 형태로 유포하는 GandCrab 입니다. 해당 샘플에서 CreateRemoteThread 함수를 사용하여 자식 프로세스에 Thread를 인젝션하며 이 과정에서 알아낸 것을 기재합니다. 안랩블로그 - ' http://asec.ahnlab.com/1160 ' 를 참고하였습니다. 이번 분석 건은 악성코드 분석은 아니며 생성된 Thread를 어떠 한 방법으로 분석하였는지를 알아 볼 것입니다. 아래 그림은 악성코드 동작 방식을 간단히 그림으로 그려보았습니다. calumny.exe 를 실행시키면 Temp 폴더에 bin, dll, jpg 등을 드랍하지만 특별히 적지는 않았습니다. calumny.exe 가 msiexec.exe (정상프로그램)을 suspned 모..

이번 분석 건은 Ahnlab 블로그에 기재된 ' 자바스크립트 내에 포함된 GandCrab 랜섬웨어 (V3 제거유도) ' 입니다. http://asec.ahnlab.com/1152?category=342979 상세분석은 아니며, 분석보다는 연구 한 것에 가깝습니다. GandCrab을 실행하기 위한 자바스크립트 입니다. 자바스크립트 난독화를 복호화 시키는 과정입니다. 복호화를 끝마친 상태입니다. 안티바이러스 체크 및 GandCrab 드랍, 실행 감사합니다.

본 작성자는 초급 분석가이며, 많은 피드백 환영합니다. 이번 분석 건은 악성코드 분석은 아니며, Code Injection 기법 관련 분석입니다. 지금까지 분석한 악성코드 대부분은 자식프로세스를 생성하여 WriteProcessMemory 함수를 사용하여 Code Injection을 합니다. WriteProcessMemory의 Buffer 를 가져와 mem파일을 만들어서 분석을 하였습니다. 그런데 간혹 안되는 경우가 있습니다. 그래서 아래 본문에 그에 관련된 연구? 내용을 한 번 적어봤습니다. 샘플은 GandCrab 4.2.1 입니다. Code Injection 중 WriteProcessMemory의 Stack 부분이다. 4D5A(MZ)로 실행파일임을 확인하였으며, 특정 코드들이 들어있는 것을 확인할 수 ..