Raccoon 是一个恶意软件家族,自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬,发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据,并将收集到的数据回传至攻击者服务器,给用户造成隐私泄露、经济损失等严重后果。
MD5:4ceae09ac95a169bf12d7c4f1048006c
SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0
FILE TYPE:exe(x86)
编译时间:
DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。
依旧使用的是常见的加载函数手段,Loadlibrary GetprocAddress 。
DLL:
当动态加载完DLL后,就会执行解密函数。
RC4 加密字符串以 base64 编码存储在样本中,使用密钥 “ edinayarossiya ” 进行对字符串解密。
编写脚本批量进行解密
这里只解密了一部分密文,可以从图中看出 该样本查询了电脑相关信息
c2使用了不同的密钥进行解密,ip=hxxp://51(.)195(.)166(.)184/
该c2已经在vt报毒
创建为8724643052互斥体,判断进程信息是否等于 S-1-5-18
通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)