RootFinder Stealer恶意文件通告

逆向病毒分析 1年前 (2023) admin
258 0 0

扫码领资料

获网安教程

免费&进群

RootFinder Stealer恶意文件通告
RootFinder Stealer恶意文件通告

恶意家族名称:

RootFinder

威胁类型:

信息窃取

简单描述:

RootFinder 是一款基于 .NET 的窃密工具,该程序使用了 .NET Reactor进行多次混淆,运行时可以窃取主机信息和数十款浏览器的敏感信息、FTP账号密码等数据。


恶意文件分析


RootFinder Stealer恶意文件通告

恶意事件描述

近日,深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒,该病毒由 .NET 语言编写,套用了开源软件 StormKitty 的部分代码。经过分析发现该病毒功能尚不完善且手法相对简单,该窃密程序已在黑客论坛售卖,后续可能还会持续更新。

大多数计算机感染源于用户打开恶意电子邮件附件、点击有害链接或从不可信的来源下载文件。攻击者还使用特洛伊木马、虚假安装程序、虚假软件更新和类似方法来诱导用户并感染他们的计算机。


RootFinder Stealer恶意文件通告

恶意事件分析


MITRE ATT&CK


RootFinder Stealer恶意文件通告


解混淆


首先查看文件的信息,发现是.NET写的32位程序,拖进dnspy发现存在混淆,使用de4dot经过多次解混淆之后查看该文件:


RootFinder Stealer恶意文件通告


收集ARP信息


首先通过cmd执行arp -a命令收集主机arp信息

RootFinder Stealer恶意文件通告


收集FileZilla信息


通过读取 recentservers.xml 和 sitemanager.xml 两个文件的内容获取ftp服务器账号密码。

RootFinder Stealer恶意文件通告


之后将收集到的信息写入到C:WondowsHosts.txt中。


收集主机信息


使用通过WMI接口获取计算机CPU和显卡信息,之后与主机名,用户名进行拼接计算MD5:

RootFinder Stealer恶意文件通告
RootFinder Stealer恶意文件通告


收集主机反病毒软件信息

RootFinder Stealer恶意文件通告


此外还包括:系统语言、公网IP、系统时间、操作系统和系统版本、内存大小、磁盘系列号、BIOS信息、MAC地址、子网扫描、内网IP。


收集浏览器信息

RootFinder Stealer恶意文件通告


包括Opera、Google Chrome、MapleStudio ChromePlus、Iridium、7Start、CentBrower、Chedot、Vivaldi、Kometa、Element Browser、Epic Privacy Brower、uCozMedia、Chromium、Sleipnir、Citrio、Coowon、liebao、QIP Surf、Orbitum、Comodo、Amigo、Torch、Yandex、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、Brave-Browser、Edge,FireFox、WaterFox、Thunderbird、IceGragon、Cyberfox、BlackHaw、Pale Moon等众多浏览器保存的账号密码、cookie、搜索历史、***等信息,此时收集到的信息将被保存到C:Windows目录下的众多txt中。


发送数据


收集到的信息将以明文的形式发送到 Telegram 机器人中:

RootFinder Stealer恶意文件通告

文件同样会被使用POST的方式发向Telegram,随后删除保存的txt文件

RootFinder Stealer恶意文件通告


病毒运营者自述可以获取游戏客户端(Steam,Minecraft)账号,但在分析调试的时候暂未发现相关代码调用。


作者:安全脉搏【Further_eye】转载自:https://www.secpulse.com/archives/197814.html

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@

学习更多渗透技能!体验靶场实战练习

RootFinder Stealer恶意文件通告

hack视频资料及工具

RootFinder Stealer恶意文件通告

(部分展示)


往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧

原文始发于微信公众号(白帽子左一):RootFinder Stealer恶意文件通告

版权声明:admin 发表于 2023年3月21日 下午12:31。
转载请注明:RootFinder Stealer恶意文件通告 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...