Raccoon家族之卷土重来

Raccoon家族之卷土重来

本文为看雪论坛优秀文章

看雪论坛作者ID:JinMu




介绍


Raccoon 是一个恶意软件家族,自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬,发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据,并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。






详细分析


MD5:4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE:exe(x86)

编译时间:Raccoon家族之卷土重来


初始动态加载必要DLL


DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

Raccoon家族之卷土重来

依旧使用的是常见的加载函数手段,Loadlibrary GetprocAddress 。

Raccoon家族之卷土重来

DLL:

  1. kernel32.dll

  2. Shlwapi.dll

  3. Ole32.dll

  4. WinInet.dll

  5. Advapi32.dll

  6. User32.dll

  7. Crypt32.dll

  8. Shell32.dll


Base64解密数据


当动态加载完DLL后,就会执行解密函数。


RC4 加密字符串以 base64 编码存储在样本中,使用密钥 “ edinayarossiya ” 进行对字符串解密。


Raccoon家族之卷土重来


编写脚本批量进行解密


CR4解密脚本

from Crypto.Cipher import ARC4from Crypto.Cipher import ARC4 as rc4cipher
import base64
def rc4_algorithm(encrypt_or_decrypt, data, key1): if encrypt_or_decrypt == "encrypt": key = bytes(key1, encoding='utf-8') enc = rc4cipher.new(key) res = enc.encrypt(data.encode('utf-8')) res=base64.b64encode(res) res = str(res,'utf8') return res elif encrypt_or_decrypt == "decrypt": data = base64.b64decode(data) key = bytes(key1, encoding='utf-8') enc = rc4cipher.new(key) res = enc.decrypt(data) res = str(res,'utf8') return res

if __name__ == "__main__": data = '测试' key = 'edinayarossiya'

datas=['fVQMox8c','bE8Yjg==','bkoJoy0=','LEtihSAW6eunMDV+Aes3rVhAClFoaQM=','XGon61cwprfREQZ+AehCnwI2Q30+EA==','ADFOtVtjiZGI','ABVLnR0gzY7neRx+Aeg=','ABVLniF5jMfxSQ==','ABVLgzMOlsKnJxwWMOg=','ABVLhRsuycL4LFI+SMI3vXQJHXggc2czmduXAivp0jSxF5aMYw==','ABVLlRsw3I7jOhwoG5h35HFAHSBofgM=','LFw=','ABVLkAAgxIv2Jl8vB5B35HEdXDxH','ABVLkiIWlsKnMBxzV4YyvT4XHCtkEA==','ABVLlRsw3I7jOhwfF5R7vTQWQ1JoaQM=','b1cZvBoq35btMUV1AZN+tyUA'] for res in datas: print(rc4_algorithm('decrypt', res, key))


这里只解密了一部分密文,可以从图中看出 该样本查询了电脑相关信息。

Raccoon家族之卷土重来


C2解密


c2使用了不同的密钥进行解密,ip=hxxp://51(.)195(.)166(.)184/

Raccoon家族之卷土重来

该c2已经在vt报毒


Raccoon家族之卷土重来


获取电脑相关信息


判断启动权限


创建为8724643052互斥体,判断进程信息是否等于  S-1-5-18

Raccoon家族之卷土重来

注册表检索机器ID


通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID。

Raccoon家族之卷土重来

获取用户名

Raccoon家族之卷土重来

最后生成上传格式

machineId=<MachineGuid>|<用户名>&configId=<RC4 密钥>

Raccoon家族之卷土重来


链接c&2


Raccoon家族之卷土重来


获取特殊路径文件夹


SHGetFolderPath来获取特殊路径

Raccoon家族之卷土重来

由于分析该样本是 C2已经失效,后续操作无法进行~


不过根据经验可以知道:无非就是下载恶意文件进行持久化,上传个人信息,监听等等。





结论


c&2:55(.)195(.)166(.)184

path:C:Users<User>AppData


Raccoon家族自从2019 年首次发布后,这是第二个主要版本,这很可能该家族可能会不断发展(从目前情况看过杀软并不是很强,小白可以使用来练手)。算是一个比较简单的病毒家族,如果有不足请提出大家一起学习




Raccoon家族之卷土重来


看雪ID:JinMu

https://bbs.kanxue.com/user-home-905120.htm

*本文由看雪论坛 JinMu 原创,转载请注明来自看雪社区

Raccoon家族之卷土重来

# 往期推荐

1.CVE-2022-21882提权漏洞学习笔记

2.wibu证书 - 初探

3.win10 1909逆向之APIC中断和实验

4.EMET下EAF机制分析以及模拟实现

5.sql注入学习分享

6.V8 Array.prototype.concat函数出现过的issues和他们的POC们


Raccoon家族之卷土重来


Raccoon家族之卷土重来

球分享

Raccoon家族之卷土重来

球点赞

Raccoon家族之卷土重来

球在看


Raccoon家族之卷土重来

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):Raccoon家族之卷土重来

版权声明:admin 发表于 2023年1月15日 下午5:59。
转载请注明:Raccoon家族之卷土重来 | CTF导航

相关文章

暂无评论

暂无评论...