freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

窃密的浣熊:Raccoon RAT
2021-09-22 21:02:47

Raccoon 是一个信息窃密恶意软件,通过恶意软件即服务(MaaS)提供给订阅者,所窃取的信息可能会通过暗网论坛找到潜在的买家。

操作系统

背景

Raccoon 一直被认为是 Azorult 的替代品,在 2019 年年初开始对外披露,2019 年 4 月被首次在野发现。

Raccoon 一直都在宣传他们拥有负责开发的专家团队,而且十分注重解决用户使用中存在的问题。这种水平的客户服务使攻击者在犯罪社区中积累了良好的信誉,成为了社区里可靠的服务提供商。

Raccoon 每月订阅费用不到 100 美元,长期订阅还可以享受更多折扣。每个订阅者都要求保护 Raccoon 的新版本,防止被端点防护软件检测到。

Raccoon 通常以“游击战”方式部署,窃取了凭据、Cookie 和加密钱包等信息后,所有的主要恶意软件都会从失陷主机上删除。

样本保护

以 Raccoon 投递的 32 位 Windows 程序(d7b4e7a29b5a4c2779df187c35b8137f5f27a9f0a06527d0966b8537c0a2c5ec)为例,订阅者也可以订阅 DLL 版本的恶意程序。

样本在 VirusTotal 上的首次提交时间是 2021 年 8 月上旬,而样本的创建时间戳为 2020 年 9 月、调试时间戳为 2021 年 6 月。而通过 Raccoon 的运行时日志可以确认构建在 2021 年 2 月下旬完成。

恶意样本包含大量带有丢弃返回值的循环函数调用,被调用达到数万次,这会使得沙盒的报告非常嘈杂,分析也更为复杂。

Raccoon 的实际入口点与对 OLE32.DLL 的 CoInitialize函数调用一致。

为了阻止多重感染,Raccoon 利用用户名和硬编码字符串前缀 uiabfqwfu生成互斥量。

检查失陷主机的国家设置,与独联体国家列表进行比较,如果命中则停止执行。

攻击基础设施

C&C 信息硬编码在样本中,经过 RC4 加密和 base64 编码,且 RC4 密钥也存储在可执行文件中。

C&C 使用的是似乎 2018 年注册的虚假 Telegram 域名,该域名在 2021 年 6 月开始解析,登录页面仿冒合法的 Telegram 服务。

Raccoon 会提取页面上的 base64 编码的字符串,解密后发现二阶段的 C&C 服务器。

C&C 的 URL 和 config_id 都存储在 Raccoon 中 260 字节的占位符中,用于解密二阶段 C&C URL 的明文 RC4 密钥存储在 100 字节的占位符中。

b=D6744488-8D2E-4BD1-7812-C37123498E72_Zaphod&c=76965ce08094e45ba176fa000c8299935ebdd965&f=json

Raccoon 获取 Windows GUID 和用户名,与配置 ID 一起发送给 C&C 服务器。在发送前,需要经过 RC4 加密和 base64 编码。image.png-15.3kB

C&C 服务器的响应也经过 RC4 加密和 base64 编码。在响应 JSON 中,有包含 DLL 文件的 ZIP 文件的下载地址,再由 Raccoon 加载。

下载的 DLL 文件对应的合法应用程序列表如下所示:image.png-89.2kB

配置文件中还包括启动屏幕截图和自我销毁、文件合并的配置信息。

Raccoon 针对常见的 Windows 应用程序发起攻击,主要是 Web 浏览器和电子邮件客户端。

大多数是注册表路径的片段,用于确认是否安装应用程序,或者是收集存在特定注册表路径的凭据。

除此之外,Raccoon 还会探测流行的加密货币钱包,将完整文件复制上传。

游击战

窃取的所有信息都被复制到一个随机命名的临时文件夹中。压缩文件夹为 ZIP 文件并上传到 C&C 服务器后,Raccoon 会被要求自我销毁。

但是,Raccoon 的自我销毁并不完整,下载的库文件会被残留下来。

结论

尽管 Raccoon 并不复杂,但是却为初出茅庐的网络犯罪分子和经验丰富的攻击者都提供了“平价”的攻击工具。它机会扫平了所有进入的技术门槛,让订阅者可以专注于窃取信息进行销售。

Yara

rule RaccoonInfoStealer

{
strings:
$b64_conf_id = /[A-Za-z0-9+\/=\ ]+/
$hx_str_xor = { F6 D1 30 8C 15 ?? FD FF FF 42 83 FA ?? 73 08 8A 8D ?? FD FF FF EB }

condition:
!b64_conf_id[1] == 260 or
all of ($hx*)
}

IOC

telete.in
tttttt.me
5.181.156.252
66.115.165.153
34.135.32.61
95.216.186.40

参考来源

BlackBerry

本文作者:, 转载请注明来自FreeBuf.COM

# RAT # 远控木马 # Raccoon # 窃密木马
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑