악성코드 샘플 분석_1

xplico를 통해 분석진행

 

 

검출된 url개수가 너무 많아

스구일을 사용했다.

 

명령어를 검색해서 replay를 진행했다.

 

 

의심가는 부분을 캡처했다.

 

payload를 확인해서 IP를 정리해주었다.

 

해당 내용을 토대로 마이너에서 검색했다.

 

site의 url를 찾았다.

 

해당 url을 검색하여 

html형식으로 다운로드 해준다.

 

html코드가 나온다

내용이 많아서 redirector IP에서 더 정보를 가져오기로 했다.

 

해당 Hostname을 검색해준다.

 

일치하는 url을 검출했다.

이로써 해당 site는 ifram태그를 이용해 악성 url로 리다이렉트를 해준다.

 

 

 

 

와이어 샤크에서도 iframe 태그 사용 내역을 확인할 수 있다.

 

악성 url을 자바스크립트로 난독화되어있다.

복호화는 다음에 진행할 예정이다.

 

마지막으로 검출된 첫 php 사이트는 랜섬웨어 형식의 페이지가 나온다.

 

결론은 다른 url로 리다이렉트하여 파일을 암호화 시키고 돈을 요구하는 랜섬웨어 악성코드이다.