CTF导航 CTF导航

Raccoon家族之卷土重来

逆向病毒分析 1年前 (2023) admin
323 0 0

Raccoon家族之卷土重来

本文为看雪论坛优秀文章

看雪论坛作者ID:JinMu




介绍


Raccoon 是一个恶意软件家族,自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬,发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据,并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。






详细分析


MD5:4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE:exe(x86)

编译时间:Raccoon家族之卷土重来


初始动态加载必要DLL


DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

Raccoon家族之卷土重来

依旧使用的是常见的加载函数手段,Loadlibrary GetprocAddress 。

Raccoon家族之卷土重来

DLL:

  1. kernel32.dll

  2. Shlwapi.dll

  3. Ole32.dll

  4. WinInet.dll

  5. Advapi32.dll

  6. User32.dll

  7. Crypt32.dll

  8. Shell32.dll


Base64解密数据


当动态加载完DLL后,就会执行解密函数。


RC4 加密字符串以 base64 编码存储在样本中,使用密钥 “ edinayarossiya ” 进行对字符串解密。


Raccoon家族之卷土重来


编写脚本批量进行解密


CR4解密脚本

from Crypto.Cipher import ARC4from Crypto.Cipher import ARC4 as rc4cipher
import base64
def rc4_algorithm(encrypt_or_decrypt, data, key1):    if encrypt_or_decrypt == "encrypt":        key = bytes(key1, encoding='utf-8')        enc = rc4cipher.new(key)        res = enc.encrypt(data.encode('utf-8'))        res=base64.b64encode(res)        res = str(res,'utf8')        return res    elif encrypt_or_decrypt == "decrypt":        data = base64.b64decode(data)        key = bytes(key1, encoding='utf-8')        enc = rc4cipher.new(key)        res = enc.decrypt(data)        res = str(res,'utf8')        return res

if __name__ == "__main__":    data = '测试'    key = 'edinayarossiya'

    datas=['fVQMox8c','bE8Yjg==','bkoJoy0=','LEtihSAW6eunMDV+Aes3rVhAClFoaQM=','XGon61cwprfREQZ+AehCnwI2Q30+EA==','ADFOtVtjiZGI','ABVLnR0gzY7neRx+Aeg=','ABVLniF5jMfxSQ==','ABVLgzMOlsKnJxwWMOg=','ABVLhRsuycL4LFI+SMI3vXQJHXggc2czmduXAivp0jSxF5aMYw==','ABVLlRsw3I7jOhwoG5h35HFAHSBofgM=','LFw=','ABVLkAAgxIv2Jl8vB5B35HEdXDxH','ABVLkiIWlsKnMBxzV4YyvT4XHCtkEA==','ABVLlRsw3I7jOhwfF5R7vTQWQ1JoaQM=','b1cZvBoq35btMUV1AZN+tyUA']    for res in datas:        print(rc4_algorithm('decrypt', res, key))


这里只解密了一部分密文,可以从图中看出 该样本查询了电脑相关信息。

Raccoon家族之卷土重来


C2解密


c2使用了不同的密钥进行解密,ip=hxxp://51(.)195(.)166(.)184/

Raccoon家族之卷土重来

该c2已经在vt报毒


Raccoon家族之卷土重来


获取电脑相关信息


判断启动权限


创建为8724643052互斥体,判断进程信息是否等于  S-1-5-18

Raccoon家族之卷土重来

注册表检索机器ID


通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID。

Raccoon家族之卷土重来

获取用户名

Raccoon家族之卷土重来

最后生成上传格式

machineId=<MachineGuid>|<用户名>&configId=<RC4 密钥>

Raccoon家族之卷土重来


链接c&2


Raccoon家族之卷土重来


获取特殊路径文件夹


SHGetFolderPath来获取特殊路径

Raccoon家族之卷土重来

由于分析该样本是 C2已经失效,后续操作无法进行~


不过根据经验可以知道:无非就是下载恶意文件进行持久化,上传个人信息,监听等等。





结论


c&2:55(.)195(.)166(.)184

path:C:Users<User>AppData


Raccoon家族自从2019 年首次发布后,这是第二个主要版本,这很可能该家族可能会不断发展(从目前情况看过杀软并不是很强,小白可以使用来练手)。算是一个比较简单的病毒家族,如果有不足请提出大家一起学习




Raccoon家族之卷土重来


看雪ID:JinMu

https://bbs.kanxue.com/user-home-905120.htm

*本文由看雪论坛 JinMu 原创,转载请注明来自看雪社区

Raccoon家族之卷土重来

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 – 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们


Raccoon家族之卷土重来


Raccoon家族之卷土重来

球分享

Raccoon家族之卷土重来

球点赞

Raccoon家族之卷土重来

球在看


Raccoon家族之卷土重来

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):Raccoon家族之卷土重来

版权声明:admin 发表于 2023年1月15日 下午5:59。
转载请注明:Raccoon家族之卷土重来 | CTF导航

相关文章

PikaBot distributed via malicious search ads
admin
35
ELF文件脱壳纪事脱壳纪事
admin
35
伪装成MoviesWatch针对巴基斯坦地区隐蔽攻击活动分析
admin
45
挖矿木马VsphereMiner盯上VMware虚拟机
admin
832
Voyager勒索病毒分析
admin
550
活跃的Jester Stealer窃密木马及其背后的黑客团伙分析
admin
531

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含学术探讨)
0
Hypervisor From Scratch:设置我们的第一个虚拟机
0
【PC样本分析】警惕,黑客通过伪装游戏作弊器 dll注入器等的GitHub开源项目传播多种恶意软件
0
金眼狗黑产组织最新攻击样本详细分析与关联分析
0
警惕XZ Utils后门事件再现!OpenJS发现类似社会工程学渗透攻击
0
CatDDoS僵尸网络正在利用CVE-2023-46604进行传播
0
The Worst (But Only) Claude 3 Tokenizer
0
Using the LockBit builder to generate targeted ransomware
0
Toolkit – The Essential Toolkit For Reversing, Malware Analysis, And Cracking
0
【恶意文件】TA547通过邮件钓鱼分发Rhadamanthys窃密软件
0