[Malware analysis] 류크(Ryuk) 랜섬웨어 ② [Malware analysis] 류크(Ryuk) 랜섬웨어 ① ① 다음으로 계속 진행하겠다. 대상 프로세스인 taskhost.exe을 상세분석한 부분이다 암호화와 관련된 Crypt API와 “Microsoft Enhanced RSA and AES Cryptographic Provider” 문자열을 확인할 수 있다. CryptAcquireContext() szContainer에 있는 ”AES_unique_” 컨테이너를 가져오는 것을 확인할 수 있다.이후 CryptImportKey()을 이용하여 RSA 공개키 핸들을 구해 키 지정을 확인할 수 있다. 1. Ransom Note다음을 살펴보면 루프문을 통해 Ransom Note 내용을 저장하는 것을..
[Reversing] MSCryptoAPI unit MSCryptoAPI; interface uses Windows, KOL; // Constants for HiAsm Componentsconst NO_ERROR = 0; ERROR_INVALID_PARAMETER = 1; ERROR_INCORRECT_KEY = 2; ERROR_ACQUIRE_CONTEXT = 3; ERROR_GENERATION_KEY = 4; ERROR_GENERATION_KEYPAIR = 5; ERROR_GET_USER_KEY = 6; ERROR_DERIVE_KEY = 7; ERROR_ENCRYPT = 8; ERROR_DECRYPT = 9; ERROR_CREATE_HASH = 10; ERROR_HASH_DATA = 11; ERROR_G..
- Total
- Today