WEBVTT 00:00.620 --> 00:02.900 안녕하세요, 새 섹션에 오신 것을 환영합니다. 00:03.230 --> 00:08.000 이 새로운 섹션에서는 Ramnit 트로이 목마의 포장을 벗겨보겠습니다. 00:08.690 --> 00:15.230 이 웹사이트에서는 램닛 트로이 목마 램닛에 대해 자세히 알아볼 수 있습니다. 00:16.130 --> 00:20.750 이 트로이 목마는 새로운 트로이 목마가 아니며 한동안 존재해 왔습니다. 00:20.750 --> 00:22.970 2010년에 처음 발견되었습니다. 00:25.030 --> 00:32.500 원래는 PC를 감염시켜 프록시 서버로 사용하여 은행 계좌를 공격하도록 설계되었습니다. 00:32.500 --> 00:34.030 악의적인 활동의 경우. 00:35.480 --> 00:37.640 그리고 그 이후로 계속 발전해 왔습니다. 00:38.740 --> 00:45.730 따라서 이전에는 컴퓨터를 감염시켜 봇으로 만드는 봇넷으로 활동했습니다. 00:47.690 --> 00:56.210 그리고 최근에는 사람들을 속여 정보를 제공하도록 유도하는 웹 인젝트를 통해 인증 정보를 탈취하는 것이 현재의 목표입니다. 00:56.210 --> 00:57.650 기밀 정보. 00:58.160 --> 01:02.720 그리고 렘닉은 은행 업계에 집중하는 것으로 가장 잘 알려져 있습니다. 01:04.370 --> 01:05.420 확산되는 방식. 01:05.640 --> 01:13.370 Remit은 원래 웜 기능을 사용하여 배포되었지만 이제는 실행 파일을 통해 배포됩니다. 01:13.400 --> 01:18.080 사용자도 모르게 다운로드되어 실행됩니다. 01:18.680 --> 01:28.280 또한 이메일 스팸, 즉 멀웨어 스팸을 통해 잔여물이 유포되는 사례도 있었습니다. 01:28.280 --> 01:29.210 이메일을 통해. 01:29.630 --> 01:35.570 피해자가 광고나 안전하지 않은 웹사이트를 클릭하여 다운로드하는 경우. 01:36.560 --> 01:43.310 이제 이 Ramnit 파일을 다운로드하여 압축을 풀고 바탕화면 폴더에 Ramnit이라는 이름으로 넣으세요. 01:44.660 --> 01:51.620 그래서 가장 먼저 하는 일은 포장 여부를 확인하기 위해 예비 스캔을 하는 것입니다. 01:52.010 --> 01:58.790 따라서 플레어 유틸리티로 이동하여 감지기를 작동시킬 수 있습니다. 02:00.210 --> 02:02.460 쉽게 감지된 것을 엽니다. 02:06.470 --> 02:07.760 여기에서 점 세 개를 클릭합니다. 02:11.320 --> 02:12.940 데스크톱으로 이동합니다. 02:15.910 --> 02:16.660 계좌 송금. 02:19.810 --> 02:23.340 그리고 실제로 여기에 그 내용이 담겨 있습니다. 02:23.890 --> 02:25.390 하지만 나중에 살펴보겠습니다. 02:25.390 --> 02:27.490 내부에도 얼룩이 있습니다. 02:28.090 --> 02:31.150 이제 엔트로피에 대해 살펴보겠습니다. 02:34.270 --> 02:34.750 매우 높음. 02:34.780 --> 02:37.300 파일의 95%가 압축되어 있습니다. 02:38.100 --> 02:39.600 보시다시피, 사실입니다. 02:41.160 --> 02:47.660 예비 분석에 사용할 수 있는 다른 도구는 B 스튜디오를 사용하는 것입니다. 02:47.670 --> 02:55.500 이제 유틸리티 폴더로 이동하여 B 스튜디오를 실행한 다음 B 스튜디오로 드래그해 보겠습니다. 02:58.020 --> 03:01.110 여기에서 32비트 실행 파일임을 알 수 있습니다. 03:01.990 --> 03:03.550 엔트로피도 높습니다. 03:03.970 --> 03:05.020 본은 7살입니다. 03:05.320 --> 03:07.840 일반적으로 7개 이상이면 꽉 찼음을 나타냅니다. 03:08.470 --> 03:10.900 그리고 세션을 보면 03:12.820 --> 03:22.780 보시다시피 불규칙한 텍스트 섹션이 추가로 있는데, 이 텍스트 섹션은 다음과 같습니다. 03:22.780 --> 03:25.210 엔트로피가 상당히 높다는 것은 그만큼 꽉 차 있다는 뜻입니다. 03:25.780 --> 03:27.130 여기 리소스도 마찬가지입니다. 03:28.090 --> 03:28.870 7. 8. 03:28.870 --> 03:29.680 7. 9. 03:31.380 --> 03:35.570 이제 Xdebug로 그 포장을 풀어보겠습니다. 03:36.240 --> 03:39.180 이제 32비트 버전의 Xdebug를 실행하세요. 03:43.690 --> 03:50.320 그런 다음 옵션 환경설정에서 시스템, 중단점 및 콜백을 선택 취소합니다. 03:50.350 --> 03:55.300 저장을 클릭한 다음 남은 트로이 목마를 엽니다. 03:58.590 --> 04:01.890 드롭다운을 클릭하고 모든 파일을 선택한 다음 켜짐을 선택합니다. 04:04.590 --> 04:07.710 이제 특정 중단 지점을 설정하겠습니다. 04:10.260 --> 04:12.810 첫 번째는 가상 잠금입니다. 04:18.580 --> 04:21.430 다음은 가상 제품입니다. 04:26.650 --> 04:31.470 그런 다음 프로세스 내부 w를 만듭니다. 04:41.790 --> 04:46.290 그 다음 쓰기 프로세스 메모리. 04:51.360 --> 04:55.380 그리고 브레이크포인트 또는 디버거가 있나요? 05:00.550 --> 05:05.290 그리고 빈 이력서 트랙의 중단점에 하나 더 있습니다. 05:08.400 --> 05:15.570 이제 중단점 탭으로 이동하여 설정한 중단점이 있는지 확인합니다. 05:16.530 --> 05:24.630 그리고 앞서 언급했듯이 이 멀웨어를 처음 접하는 경우라면 그렇지 않습니다. 05:24.630 --> 05:27.410 어떤 중단점이 설정되어 있는지 파악합니다. 05:27.420 --> 05:29.480 따라서 모든 항목을 설정해야 합니다. 05:29.490 --> 05:34.950 이 과정을 시작하면서 앞서 언급했던 내용들을 최대한 많이 활용하세요. 05:35.310 --> 05:41.700 하지만 몇 번의 라운드가 지나면 맞힐 가능성이 높은 몇 가지로 좁혀집니다. 05:43.020 --> 05:45.330 이제 실행할 수 있습니다. 05:47.860 --> 05:50.890 F9, 실행하려면 클릭합니다. 05:53.760 --> 06:03.480 그리고 바로 이 createprocess 내부 W에 도달하면 이 프로세스가 이 파일을 실행합니다. 06:03.660 --> 06:08.490 그리고 이 파일이 방금 이 위치에 드롭된 것으로 보입니다. 06:08.490 --> 06:10.320 그럼 직접 가서 확인해 보세요. 06:11.220 --> 06:17.940 이 위치는 실제로 원래 트로이 목마가 시작된 폴더와 동일한 위치입니다. 06:18.150 --> 06:20.010 여기에서 보실 수 있습니다. 06:21.620 --> 06:26.540 따라서 이것은 드롭된 새 파일이며 이 파일을 실행하려고 합니다. 06:26.870 --> 06:31.170 따라서 이제 여기에 첨부하기 전에 이 작업을 실행해야 합니다. 06:31.190 --> 06:34.080 즉, 이 API를 실행하도록 허용해야 합니다. 06:34.220 --> 06:38.420 따라서 이 API를 실행하려면 이 실행을 클릭하여 사용자 코드를 실행하면 됩니다. 06:39.920 --> 06:40.370 그렇죠? 06:40.370 --> 06:46.800 따라서 API가 실행되었고 아마도 이 프로세스가 이미 시작되었을 것입니다. 06:46.820 --> 06:51.980 따라서 프로세스로 이동하여 확인할 수 있습니다 해커 그리고 살펴보십시오. 06:52.010 --> 06:55.250 플래시 유틸리티를 클릭합니다. 06:55.940 --> 06:59.630 프로세스 해커로 이동하여 프로세스 해커를 실행합니다. 07:03.350 --> 07:05.090 그런 다음 아래로 스크롤하여 찾습니다. 07:05.120 --> 07:05.990 여기까지입니다. 07:07.160 --> 07:14.030 Remnick은 상위 프로세스이며, 이를 통해 Remnick Manager라는 새로운 프로세스를 생성했습니다. 07:14.030 --> 07:19.970 API 생성 프로세스 내부를 살펴봤는데, 방금 전에 살펴보았습니다. 07:20.600 --> 07:27.950 이제 실행 중이라는 것을 알았으므로 X32 디버그의 새 인스턴스를 열어 첨부할 수 있습니다. 07:28.250 --> 07:32.300 이전 xdebug 인스턴스를 닫지 않고. 07:32.660 --> 07:39.920 따라서 X32 디버그의 새 인스턴스를 열려면 여기로 내려와서 이 항목을 마우스 오른쪽 버튼으로 클릭한 다음 선택합니다. 07:39.950 --> 07:41.030 X32 디버그. 07:42.750 --> 07:42.880 클릭합니다. 07:42.990 --> 07:43.590 예. 07:45.020 --> 07:53.420 이제 두 번째 프로세스인 렘넌트 매니저가 이미 메모리에서 실행 중이므로 첨부할 수 있습니다. 07:53.420 --> 08:02.130 파일을 클릭한 다음 여기에서 첨부를 클릭하면 여기에 이미 메모리 잔여물에 있는 것을 볼 수 있습니다. 08:02.150 --> 08:02.780 관리자. 08:03.200 --> 08:05.600 따라서 이것을 클릭하고 첨부하기를 클릭합니다. 08:07.430 --> 08:12.230 다음 동영상에서 중단한 부분부터 분석을 계속 이어가겠습니다. 08:12.260 --> 08:13.760 시청해 주셔서 감사합니다.