Raccoon家族之卷土重来（Raccoon家族之卷土重来）

相思扣无缘 2023-03-23 06:40:29

一、介绍

Raccoon 是一个恶意软件家族，自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬，发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据，并将收集到的数据回传至攻击者服务器，给用户造成隐私泄露、经济损失等严重后果。

二详细分析

MD5：4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE：exe(x86)

编译时间：

Raccoon家族之卷土重来（Raccoon家族之卷土重来）(1)

初始动态加载必要DLL

DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

Raccoon家族之卷土重来（Raccoon家族之卷土重来）(2)

依旧使用的是常见的加载函数手段，Loadlibrary GetprocAddress 。

Raccoon家族之卷土重来（Raccoon家族之卷土重来）(3)

DLL：

kernel32.dll
Shlwapi.dll
Ole32.dll
WinInet.dll
Advapi32.dll
User32.dll
Crypt32.dll
Shell32.dll

Base64解密数据

当动态加载完DLL后，就会执行解密函数。

RC4 加密字符串以 base64 编码存储在样本中，使用密钥 “ edinayarossiya ” 进行对字符串解密。

Raccoon家族之卷土重来（Raccoon家族之卷土重来）(4)

编写脚本批量进行解密

CR4解密脚本

from Crypto.Cipher import ARC4 from Crypto.Cipher import ARC4 as rc4cipher import base64 def rc4_algorithm(encrypt_or_decrypt, data, key1): if encrypt_or_decrypt == "encrypt": key = bytes(key1, encoding='utf-8') enc = rc4cipher.new(key) res = enc.encrypt(data.encode('utf-8')) res=base64.b64encode(res) res = str(res,'utf8') return res elif encrypt_or_decrypt == "decrypt": data = base64.b64decode(data) key = bytes(key1, encoding='utf-8') enc = rc4cipher.new(key) res = enc.decrypt(data) res = str(res,'utf8') return res if __name__ == "__main__": data = '测试' key = 'edinayarossiya' datas=['fVQMox8c','bE8Yjg==','bkoJoy0=','LEtihSAW6eunMDV Aes3rVhAClFoaQM=','XGon61cwprfREQZ AehCnwI2Q30 EA==','ADFOtVtjiZGI','ABVLnR0gzY7neRx Aeg=','ABVLniF5jMfxSQ==','ABVLgzMOlsKnJxwWMOg=','ABVLhRsuycL4LFI SMI3vXQJHXggc2czmduXAivp0jSxF5aMYw==','ABVLlRsw3I7jOhwoG5h35HFAHSBofgM=','LFw=','ABVLkAAgxIv2Jl8vB5B35HEdXDxH','ABVLkiIWlsKnMBxzV4YyvT4XHCtkEA==','ABVLlRsw3I7jOhwfF5R7vTQWQ1JoaQM=','b1cZvBoq35btMUV1AZN tyUA'] for res in datas: print(rc4_algorithm('decrypt', res, key))

这里只解密了一部分密文，可以从图中看出该样本查询了电脑相关信息。

Raccoon家族之卷土重来（Raccoon家族之卷土重来）(5)