WriteLine에선 못 찾았어도 Barmy.exe 파일의 함수를 하나하나 살펴보며 의심스러운 함수를 분석했다.
-> 탈취하는 정보 찾아냄. C2 통신은 관련 흔적만 찾아냄..
탈취 데이터 관련
SystemNetConfigurationWebRequestModuleElementTypeAndNameU
Init 함수 : Base64 데이터 해독해 특정 브라우저 데이터 파일이 있는 경로를 수집하는 기능
Id2 함수 : scannerArg.id5 값 반환
IEnumerable 함수 : 브라우저 데이터 탈취 루틴으로 보임
문자열을 char 배열로 쪼갠 이유 : 시그니처 기반 탐지 우회
1. 환경 변수 기반 경로 수집
Environment.ExpandEnvironmentVariables(x)
SystemNetUnsafeNcINativeMethodsHttpApiHTTPREQUESTINFOTYPEr.FindPaths(...)2. 브라우저/프로필 폴더 검색 : Opera, Chrome, Extension
3. 특정 폴더 내 파일 경로 생성
4. PathsCollection 기반으로 실제 대상 파일 조합
-> Cookies, Login Data, Web Data, Local Extension Settings 파일을 전부 읽어 탈취하려는 목적
통신 관련
SystemCodeDomCodeExpressionZ 클래스
DomainExists 함수 : 도메인 문자열 검증 및 분할 처리, 객체의 string 타입 속성들 동적으로 조작
-> 도메인 처리, 객체 속성 조작
SystemNetConfigurationHttpWebRequestElementJ 구조체
암호화/복호화를 위한 인증 모드 정보 관리, 네트워크 통신에서 사용되는 암호화 데이터 처리용
SystemCodeDomCodeDirectiveB 클래스
CreateBind 함수 : TCP 바인딩 설정
그외 함수들 : 시스템 정보 수집
-> C2 통신을 위한 데이터 수집 모듈
'보안 > 악성코드' 카테고리의 다른 글
| RedlineStealer 악성코드 소스코드 분석(2) (1) | 2025.08.08 |
|---|---|
| RedlineStealer 악성코드 동적분석 (3) | 2025.08.04 |
| RedlineStealer 악성코드 소스코드 분석(1) (1) | 2025.07.28 |
| RedlineStealer 악성코드 정적분석 (2) | 2025.07.28 |
| LummaStealer 악성코드 소스코드 분석(2) (0) | 2025.07.07 |