Petya와 유사한 Diskcoder(혹은 Bad Rabbit) 랜섬웨어 Posted By ASEC , 2017년 10월 27일 Petya와 유사한 Diskcoder (혹은 Bad Rabbit) 랜섬웨어가 10월25일 최초 동유럽에서 보고 되었다. 유포 방식은 DBD (Drive By Download) 로 추정 되며 가장 상위의 드롭퍼는 Adobe Flash Player 설치파일로 위장 되었다. [그림 1] – 구조 흐름도 드로퍼는 주요 악성기능을 수행하는 DLL 파일을 드롭 한 후 Rundll32.exe 이용하여 실행한다. 아래 표와 같이 인자 값이 주어지는데 해당 인자 ‘15’는 추후 악성코드가 재부팅 명령을 수행할 때 시간 조건으로 사용한다. 자세한 내용은 아래에 언급된다. 생성 경로 및 파일명 C:windowsinfpub.dat 실행 명령 C:windowssystem32rundll32.exe C:windowsinfpub.dat”,#1 15 위와 같이 실행 된 DLL은 아래와 같은 기능을 한다. – MBR 변조 및 부트 파티션 암호화 관련 파일 드롭 – 파일 암호화 – 네트워크 전파 MBR 변조 및 부트 파티션 암호화을 수행하는 파일은 위 infpub.dat에서 드롭되며 그 내용은 아래와 같다. [MBR 변조] 생성…
