agent tesla의 소스 코드에 적용된 난독화를 해제하기 위한 C# 스크립트
해당 스크립트는 실행 파일(.exe)을 대상으로 하지 않으며,
dnSpy를 통해 Export된 C# 소스 코드 전체를 분석 및 패치하는 용도로 제작되었습니다.
스크립트 사용을 위해 아래 조건이 필요합니다.
- Agent Tesla 샘플을 dnSpy를 이용해 로드
- dnSpy의 Export 기능을 사용하여
디컴파일된 전체 C# 소스 코드 추출 - 추출된 소스 코드가 로컬 디렉터리에 저장되어 있을 것
실행 파일(.exe) 또는 DLL을 직접 입력하는 방식이 아닙니다.
스크립트 내부의 아래 변수에
dnSpy로 Export한 소스 코드 디렉터리 경로를 지정합니다.
예) string sourceDir = @"C:\agent-tesla\aa04758c-4b32-461d-98b6-71debafa0e44";정상적으로 빌드 후 실행하면 난독화 된 소스코드가 자동으로 패치 됩니다.
- 본 스크립트는 agent tesla 모든 샘플에 대해 동일하게 적용되지 않을 수 있습니다.
- Agent Tesla는 빌더 버전, 유포 시점, 커스텀 난독화 여부에 따라
문자열 복호화 방식 및 난독화 로직이 서로 다를 수 있습니다.
- 난독화 해제 대상이 되는 문자열 복호화 함수 / 난독화 함수만 사용자가 직접 분석하여 수동으로 다시 작성하면 다른 Agent Tesla 샘플에 대해서도 동일한 구조의 복호화 및 난독화 해제 스크립트로 그대로 활용할 수 있습니다.