1. 사전 준비
- Redline 다운로드
- 메모리 덤프 다운로드 (비밀번호 infected)
2. 풀이
Q1. What is the Operating System which the Redline image is being collected on?
- System Information에서 운영체제 확인
정답
Windows 7 Professional 7601 Service Pack 1Q2. What is the Logged in User while the Redline image is being collected?
- System Information에서 유저 정보 확인
정답
SecurityNinjaQ3. What is the location of the ransomware on the filesystem?
- File Download History에서 출처가 의심스러운 파일 확인
- 해당 파일을 다운받은 폴더에서 수상한 파일 확인
- 해당 파일의 해쉬값을 VirusTotal에서 검색
정답
C:\Users\SecurityNinja\Downloads\bad day.exeQ4. What is the MD5 of the ransomware?
- Details 창으로부터 해쉬값 확인
정답
94d087166651c0020a9e6cc2fdacdc0cQ5. What is the extension for the encrypted file on the filesystem?
- 바탕화면 폴더로부터 수상한 확장자의 파일 확인
정답
993ixjlbQ6. What is the onion website for paying the ransom?
- 제공된 파일의 랜섬 노트에서 확인
정답
http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/4FE49B3286F992CBQ7. What is the secondary website for paying the ransom?
- 제공된 파일의 랜섬 노트에서 확인
정답
http://decoder.re/4FE49B3286F992CBQ8. What is the Child Command Line Process being executed after the ransomware being executed?
- JOESandbox에서 md5 해쉬값으로 검색 > View Entry > IOC Report
- Processes에서 명령어 확인
정답
netsh advfirewall firewall set rule group='Network Discovery' new enable=YesQ9. What is the Mitre ATT&CK Technique ID of this ransomware impact stage?
- JOESandbox에서 md5 해쉬값으로 검색 > View Entry > Full Report
- Mitre Att&ck Matrix에서 Impact의 Data Encrypted for Impact 선택
정답
T1486Q10. What is the name of the Ransomware?
- ID Ransomeware에서 랜섬노트로 검색
정답
REvil
