https://app.any.run/tasks/eed88425-5e94-49e4-82a3-f209ba8e68b2/
파일 IOC
safecrypt.exe | sha1 | 78a6e76ab32039576b52153b56f2e8bd035222c3 |
맞는 방법인지는 모르겠으나,,,
기존 파일명이 safecrypt.exe인 것을 봐서는 .exe 파일 형태로 바꾸어줘야 할 것 같다.
그냥 파일에서 이름 바꾸기 혹은 rename을 통해 바꿀 수도 있지만, 잘 되지 않아서 EXEInfo 도구를 사용하여 바꾸어주었다.
파일을 다운받으니 .exe 파일 형태가 아닌 .bin 으로 바이너리 파일이 들어있었고, 이를 EXEInfo PE 도구를 사용해 파일 확장자를 완전히 바꿔준다.
확장자를 바꾸어 실행 파일이 된 safecrypt.exe 파일을 실행한다.
Process Explore로 실행 된 것을 확인 한 뒤, 가상머신을 susspend하여 .vmss 파일을 생성해준다.
이 때, .vmss 파일은 가상머신이 들어있는 폴더에 저장된다.
.vmss : 가상머신 일시정지 상태일때 생기는 파일
이제 이 .vmss 파일을 대상으로 메모리 포렌식을 진행하려고 한다.
mac 환경으로 이동하여 volatility 사용하려고 하는데 오류 발생
'Security' 카테고리의 다른 글
[Apache] ERROR (0) | 2022.12.15 |
---|---|
TeslaCrypt 랜섬웨어 분석 (0) | 2022.11.22 |
[랜섬웨어] TeslaCrypt (0) | 2022.11.07 |
한글 문서 구조 (0) | 2022.08.14 |
[랜섬웨어] RYUK (0) | 2022.08.05 |