iT邦幫忙

2023 iThome 鐵人賽

DAY 21
0
Security

故事從撿到一顆硬碟開始系列 第 21

[Day21] Case01:勒索軟體攻擊事件:轉檔分析

  • 分享至 

  • xImage
  •  

在執行WinIRAnalyzer的過程中,將利用開源程式MFTECmd.exe進行檔案轉檔,並成功將結果轉化為CSV格式以進行後續分析,在檔案歷程中,有多筆檔案在 2022/07/12 04:21:32 被加密,但再依檔案序號值排序後,可以發現第一筆被加密的檔案為微軟檔案格式(MSO),同時發現相關大小的檔案有部份已被刪除。

https://ithelp.ithome.com.tw/upload/images/20231004/20103647EWNhqLa0tW.png

並可透過 log2timeline 時序清單,往上追溯時能發現先前在系統管理員中的持續性加密程式(Meow.exe) 於 2022/07/12 04:21:28 由使用者Manage建立,並於2023/07/01 19:45:41重新登入啟動更新最新執行日期,並繼續往更早的檔案歷程追溯可疑來源,以此為例–可能透過電子郵件下載試算表軟體(Excel)開始觸發感染,後續進行惡意程式採樣分析。

https://ithelp.ithome.com.tw/upload/images/20231004/20103647voKd5WrAMv.png

https://ithelp.ithome.com.tw/upload/images/20231004/20103647toW6rvGPGD.png


上一篇
[Day20] Case01:勒索軟體攻擊事件:執行足跡
下一篇
[Day22] 實驗二:網頁入侵攻擊事件
系列文
故事從撿到一顆硬碟開始30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言