2024.03.23 - [study/보안] - WannaCrypto 리소스 파일 추출
WannaCrypto 리소스 파일 추출
워너크립토 랜섬웨어를 실행하게 되면 킬스위치, 네트워크 전파, 파일 드로핑 되는 것 까지 나와있음 그 다음에는 리소스가 동작함! 리소스에서 tasksche.exe 실행파일이 동작한다. 여기에서 a.zip
lucykorea414.tistory.com
위 게시글에서 파일에 대한 설명을 간략히 알아볼 수 있었는데,
실제로 분석을 해봅시다!!
msg 폴더
언어 종류별로 다 적혀있다.
아마 화면에 랜섬웨어 메세지 띄울때 시스템의 언어를 감지하여 언어별로 출력할 수 있게 미리 만들어놓은것인듯!!
b.wnry
얘를 실행하니 갑자기 바탕화면이 까만색으로 바뀌었다...
내용은 이렇게 되어있는데 아마 바탕화면 이미지 비트맵인듯?
file analizer로 봤더니 이렇게 보인다.
c.wnry
fileanalyzer로 보면 다음과 같이 Tor 네트워크 (.onion) 연결하는 url 들이 엄청 들어있다.
r.wnry
그냥 메세지 출력용 텍스트파일이다.
t.wnry
WANACRY! 라는 특이한 파일 시그니처로 시작하는 파일이다.
이는 암호화 모듈인데, 다음 게시글에서 자세하게 분석할 예정!!
u.wnry
딱 보니 exe 실행파일...
얘를 확장자를 exe로 변경해주면 랜섬웨어 감염되었을때 메세지 뜨게 하는 실행파일이랑 똑같이 바뀐다!
taskdl.exe & taskse.exe
나중에 분석 예정 ~.~
강의 외 참고: https://medium.com/@danif99/wannacry-malware-analysis-2a7fbd598776
'study > 악성코드 분석' 카테고리의 다른 글
| 자바스크립트 난독화 실전 악성코드 분석 (1) | 2024.04.02 |
|---|---|
| WannaCrypto t.wnry 복호화 (0) | 2024.03.26 |
| WannaCrypto 리소스 압축 패스워드 찾기 (0) | 2024.03.25 |
| WannaCrypto 리소스 파일 추출 (1) | 2024.03.23 |
| WannaCrypto 웜 분석 (2) | 2024.03.16 |