在執行WinIRAnalyzer的過程中,將利用開源程式MFTECmd.exe進行檔案轉檔,並成功將結果轉化為CSV格式以進行後續分析,在檔案歷程中,有多筆檔案在 2022/07/12 04:21:32 被加密,但再依檔案序號值排序後,可以發現第一筆被加密的檔案為微軟檔案格式(MSO),同時發現相關大小的檔案有部份已被刪除。
並可透過 log2timeline 時序清單,往上追溯時能發現先前在系統管理員中的持續性加密程式(Meow.exe) 於 2022/07/12 04:21:28 由使用者Manage建立,並於2023/07/01 19:45:41重新登入啟動更新最新執行日期,並繼續往更早的檔案歷程追溯可疑來源,以此為例–可能透過電子郵件下載試算表軟體(Excel)開始觸發感染,後續進行惡意程式採樣分析。
iThome鐵人賽
看影片追技術