레베톤(Reveton) 랜섬웨어 분석

1. 레베톤 랜섬웨어
1.1 개요
1.2 동작 화면
1.3 정적 분석
1.3.1 AV 탐지
1.3.2 패킹 및 난독화 여부
1.3.3 문자열 분석
1.3.5 파일 포맷 분석
1.3.1 IAT 분석
1.4 동적 분석
1.4.1 프로세스 분석
1.4.1.1 ProcWatch
1.4.1.2 자동 분석(쿠쿠 샌드박스)
1.4.1.3 ProcMon
1.4.1.4 Process Explorer
1.4.2 시스템 변화 분석
1.4.2.1 파일 변화
1.4.2.2 레지스트리 변화
1.4.2.3 서비스 변화
1.4.3 네트워크 분석
1.5 디버깅 분석 I
1.6 Thread Injection
1.7 Self Creation & Thread Injection 디버깅
1.7.1 Debugger Attach
1.7.2 자식 프로세스 EP 찾기
1.7.3 패치 복구 및 UPX 언패킹
1.7.4 자식 프로세스 디버깅
1.8 디버깅 분석 II (iTL3RdW4.exe)

2. 분석 정리
2.1 프로세스 분석 정리
2.1.1 0328_reveton.exe_1(원본 악성 파일)
2.1.2 0328_reveton.exe_2(복사 악성 파일)
2.1.3 iTL3RdW4.exe_1
2.1.4 iTL3RdW4.exe_2

참고 문헌