ย
ย
1. ์ฌ์ ์ค๋น
- Redline ๋ค์ด๋ก๋
- ๋ฉ๋ชจ๋ฆฌ ๋คํ ๋ค์ด๋ก๋ (๋น๋ฐ๋ฒํธ infected)
ย
2. ํ์ด
Q1. What is the Operating System which the Redline image is being collected on?
- System Information์์ ์ด์์ฒด์ ํ์ธ
์ ๋ต
Windows 7 Professional 7601 Service Pack 1ย
Q2. What is the Logged in User while the Redline image is being collected?
- System Information์์ ์ ์ ์ ๋ณด ํ์ธ
์ ๋ต
SecurityNinjaย
Q3. What is the location of the ransomware on the filesystem?
- File Download History์์ ์ถ์ฒ๊ฐ ์์ฌ์ค๋ฌ์ด ํ์ผ ํ์ธ
- ํด๋น ํ์ผ์ ๋ค์ด๋ฐ์ ํด๋์์ ์์ํ ํ์ผ ํ์ธ
- ํด๋น ํ์ผ์ ํด์ฌ๊ฐ์ VirusTotal์์ ๊ฒ์
์ ๋ต
C:\Users\SecurityNinja\Downloads\bad day.exeย
Q4. What is the MD5 of the ransomware?
- Details ์ฐฝ์ผ๋ก๋ถํฐ ํด์ฌ๊ฐ ํ์ธ
์ ๋ต
94d087166651c0020a9e6cc2fdacdc0cย
Q5. What is the extension for the encrypted file on the filesystem?
- ๋ฐํํ๋ฉด ํด๋๋ก๋ถํฐ ์์ํ ํ์ฅ์์ ํ์ผ ํ์ธ
์ ๋ต
993ixjlbย
Q6. What is the onion website for paying the ransom?
- ์ ๊ณต๋ ํ์ผ์ ๋์ฌ ๋ ธํธ์์ ํ์ธ
์ ๋ต
http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/4FE49B3286F992CBย
Q7. What is the secondary website for paying the ransom?
- ์ ๊ณต๋ ํ์ผ์ ๋์ฌ ๋ ธํธ์์ ํ์ธ
์ ๋ต
http://decoder.re/4FE49B3286F992CBย
Q8. What is the Child Command Line Process being executed after the ransomware being executed?
- JOESandbox์์ md5 ํด์ฌ๊ฐ์ผ๋ก ๊ฒ์ > View Entry > IOC Report
- Processes์์ ๋ช ๋ น์ด ํ์ธ
์ ๋ต
netsh advfirewall firewall set rule group='Network Discovery' new enable=Yesย
Q9. What is the Mitre ATT&CK Technique ID of this ransomware impact stage?
- JOESandbox์์ md5 ํด์ฌ๊ฐ์ผ๋ก ๊ฒ์ > View Entry > Full Report
- Mitre Att&ck Matrix์์ Impact์ Data Encrypted for Impact ์ ํ
์ ๋ต
T1486ย
Q10. What is the name of the Ransomware?
- ID Ransomeware์์ ๋์ฌ๋ ธํธ๋ก ๊ฒ์
์ ๋ต
REvilย
ย
ย
ย
์ฐธ๊ณ
ย