39. Rhadamanthys stealer

요즘 유행하는 Rhadamanthys stealer를 간단하게 분석해본다.

 

DIE 정보

 

해당 정보에는 C/C++로 나오지만 실제 해당 파일은 PyInstaller로 만들어진 exe 파일이다. 따라서, 악성파일에서 사용할 라이브러리를 불러오는 부분이 존재한다. 또한, 악성파일에서 사용할 파이썬 라이브러리들을 불러오기 위한 함수들도 GetProcAddress로 불러와 사용한다. 굉장한 스파게티 코드로 짜여져 있는 것을 볼 수 있다.

GetProcAddress

 

이후, 보통 PyInstaller로 만들었을 때 실행을 위해 존재해야 하는 파일들을 불러오고, 해당 파일들은 %APPDATA%\Local\Temp 폴더 아래에 폴더를 생성해 다운로드 받는다.

 

사용 라이브러리들

 

실제 스틸러 행위는 새로운 프로세스를 생성해 시도한다. 새로운 프로세스는 자기 자신을 새롭게 하위 프로세스로 생성한다. 자기 자신을 생성하지만 실제 행위는 부모 프로세스와 자식 프로세스가 서로 다르고, 자식 프로세스에서 C2 서버 연결과 스틸러 행위를 수행한다.

CreateProcess

CreateProcess

 

이후 C2 서버 연결을 시도한다. 현재는 해당 서버가 닫혀있어 연결되지 않는다.

C2 서버 연결

 

이후 C2 서버에 연결을 성공하면 기존 스틸러들과 같이 "OS 정보, 시스템 정보, 계정 정보, 설치된 소프트웨어, IP 주소, 자격 증명 등"에 대해 탈취를 시도하고, C2 서버로 전송한다.