실제 평창 올림픽에서 발생했던 올림픽 디스트로이어를 분석해보는 시간을 가졌다. 파워쉘을 통해 log를 생성한다. OlympicDestory가 3528인데 3528이 낳은 것들을 확인해보자 수상하니까. 이제 악성 코드들이 컴퓨터에 들어온 다음에 이제 본인 파일을 이제 작업 스케줄러에 등록을 해놓고 지속적으로 이제 컴퓨터에서 실행이 되기 위해서 그런 경우들이 있거든요 -- 작업 스케쥴러 이기 때문에 수상하다 이제 pslist 로 가보자 수상해보이는게 실행된 다음 powershell이 실행된거니 문서악성코드가 파워쉘을 실행시켰다라고 볼 수 있다. 시간차 발생후 1초간격으로 아래것들이 실행된 것을 확인할 수 있다. 이 넷은 연관이 있다.psscan에 뭐가 없다는 것은 숨김프로세스가 없다는 의미다. ps..
