[Info Stealer] Lokibot - PO NO 5532.bin 분석

1.SandBox분석 먼저 SandBox 분석 결과를 확인해보자. 1개의 http Post request가 확인된다. 현재 C&C서버가 죽어 있는 상태이므로 response는 확인되지 않는다. Process 정보를 보면 아래와 같다. 현재 분석대상파일인 po no5532.bin이 실행되면 다시한번 po no5532.bin이 실행되는 것을 확인할 수 있다. 먼저 앞서서 실행되는 po no5532.bin process의 상세 정보를 확인해보자. 해당 프로세스에서 "C:\Users\admin\AppData\Local\Temp 경로의 PO NO5532.bin.exe 파일을 실행하는 것을 확인할 수 있다. 해당 process가 load하는 다음 PO NO5532.bin.exe process의 정보도 확인해 보자...