首页
社区
课程
招聘
[原创]Raccoon家族之卷土重来
发表于: 2022-8-1 16:27 7479

[原创]Raccoon家族之卷土重来

2022-8-1 16:27
7479

Raccoon 是一个恶意软件家族,自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬,发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据,并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。

MD5:4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE:exe(x86)

编译时间:

DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

依旧使用的是常见的加载函数手段,Loadlibrary GetprocAddress 。

DLL:

当动态加载完DLL后,就会执行解密函数。

RC4 加密字符串以 base64 编码存储在样本中,使用密钥 “ edinayarossiya ” 进行对字符串解密。

编写脚本批量进行解密


这里只解密了一部分密文,可以从图中看出 该样本查询了电脑相关信息


c2使用了不同的密钥进行解密,ip=hxxp://51(.)195(.)166(.)184/

该c2已经在vt报毒

创建为8724643052互斥体,判断进程信息是否等于  S-1-5-18

通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 4
支持
分享
最新回复 (3)
雪    币: 421
活跃值: (83)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
佬们 有西安岗推推吗~
2022-11-8 14:47
0
雪    币: 33
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
有西安的机会,可以留个联系方式
2023-4-11 10:36
0
雪    币: 33
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
JinMu 佬们 有西安岗推推吗~
有西安的机会,可以留个联系方式
2023-4-11 10:36
0
游客
登录 | 注册 方可回帖
返回
//