当前位置：首页 > news >正文

窃密恶意软件Raccoon最新样本Stealer v2分析

news 文章来源：https://blog.csdn.net/text2201/article/details/129248847 2024/11/26 1:56:24

Raccoon 是一个恶意软件家族，2019 年来一直在地下犯罪论坛中以恶意软件即服务的身份进行售卖。2022 年 7 月，该恶意软件家族发布了 C
语言编写的新版本 Raccoon Stealer v2，打破了以往使用 C++ 开发的传统。

Raccoon 是一个信息窃密恶意软件，能够从浏览器窃取例如密码、Cookie 和自动填充数据等隐私信息。特别的，攻击者对加密货币钱包也很感兴趣。

主要区别

Raccoon v2 也是一种窃密类恶意软件，2022 年 7 月 3 日被在野首次发现，使用 C 语言与汇编语言编写而成。

新版本 Raccoon 有一些新功能，但数据窃密机制与老版本仍然相同：

所有字符串都使用 base64+RC4 加密

WinAPI 函数的动态加载

放弃了对 Telegram API 的依赖

其中，恶意软件获取 C&C 服务器列表的方式发生了重大变化。Raccoon Malware v1 滥用 Telegram 来获取 C&C
服务器列表，而新版本已经放弃该方式。转而使用通过受攻击者控制的服务器的硬编码 IP 地址来获取 C&C 服务器列表，再下载后续恶意软件。

调试信息

分析的样本（0cfa58846e43dd67b6d9f29e97f6c53e）带有完整的调试信息，可以查看其编译日期为 2022 年 5 月 26 日
13:58:25，如下所示：

image.png-62.3kB 调试头文件

Raccoon Stealer v2 还通过动态解析 API 名称来隐藏攻击意图，窃密程序使用 LoadLibraryW 与 GetProcAddress
来解析每个必要的函数，如下所示。

image.png-162.7kB 动态解析
API

DLL 文件命和 WinAPI 函数的名称，都以明文形式存储在二进制文件中。加载的 DLL 文件包括：

kernel32.dll

Shlwapi.dll

Ole32.dll

WinInet.dll

Advapi32.dll

User-32.dll

Crypt32.dll

Shell32.dll

Raccoon v1 未使用动态解析，所以使用加壳技术来逃避检测，而 Raccoon v2 就直接以未加壳的方式进行投递。下图显示了 Raccoon v1
使用的 DLL 文件：

image.png-37.3kB 导入表

一旦函数完成解析，恶意软件就开始对字符串进行解密。首先对 base64 编码进行解码，然后使用密钥 edinayarossiya进行 RC4
解密。所有字符串都使用解密函数 string_decryption() 进行解密，如下所示：

image.png-206.2kB 字符串解密

旧版本的 Raccoon Stealer 只加密硬编码的 IP 地址，不加密其他字符串。而 Raccoon v2
将所有纯文本字符串都进行加密。Raccoon v1 的几个明文字符串如下所示：

image.png-163kB Raccoon
v1 明文字符串

在对 Raccoon v2 样本字符串进行手动解密后，可以得到以下明文字符串：

image.png-234.1kB Raccoon
v2 明文字符串

image.png-18.6kB Raccoon
v2 明文字符串

C&C 服务器的 IP 地址保存在恶意软件中，使用相同的方式进行解密，但密钥为
59c9737264c0b3209d9193b8ded6c127。恶意软件通信的 IP 地址为
hxxp://51.195.166.184/，解密如下所示：

image.png-98.9kB 解密

C&C 服务器地址

加密的字符串可以使用 CyberChef 等工具进行解密，如下所示：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S5TCzeYT-1677499214414)(https://image.3001.net/images/20220802/1659409353_62e893c99e583643eb9cd.png!small)]Raccoon
v2 C&C 服务器 IP 地址

这种技术在两个版本的恶意软件中都十分常见，在 Raccoon v1 中如下所示：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LACMRCC5-1677499214415)(https://image.3001.net/images/20220802/1659409354_62e893ca3b56f07fdefd7.png!small)]Raccoon
v1 C&C 服务器 IP 地址

完成所有字符串的解密后，恶意软件会联系 C&C 服务器进行检查并下载恶意 DLL 文件。