介绍

Raccoon 是一个恶意软件家族，自 2019 年初以来一直在地下论坛上作为恶意软件即服务出售。2022 年 7 月上旬，发布了该恶意软件的新变种。Raccoon 木马会收集目标系统的重要数据，并将收集到的数据回传至攻击者服务器，给用户造成隐私泄露、经济损失等严重后果。

详细分析

MD5：4ceae09ac95a169bf12d7c4f1048006c

SHA1:3b6858ad62a80ecc157733111f556b92d3cfb7b0

FILE TYPE：exe(x86)

编译时间：

初始动态加载必要DLL

DLL 和 WinAPI 函数的名称以明文形式存储在二进制文件中。

依旧使用的是常见的加载函数手段，Loadlibrary GetprocAddress 。

DLL：

1. kernel32.dll
2. Shlwapi.dll
3. Ole32.dll
4. WinInet.dll
5. Advapi32.dll
6. User32.dll
7. Crypt32.dll
8. Shell32.dll

Base64解密数据

当动态加载完DLL后，就会执行解密函数。

RC4 加密字符串以 base64 编码存储在样本中，使用密钥 “ edinayarossiya ” 进行对字符串解密。

编写脚本批量进行解密

CR4解密脚本

from Crypto.Cipher import ARC4
from Crypto.Cipher import ARC4 as rc4cipher

import base64

def rc4_algorithm(encrypt_or_decrypt, data, key1):
    if encrypt_or_decrypt == "encrypt":
        key = bytes(key1, encoding='utf-8')
        enc = rc4cipher.new(key)
        res = enc.encrypt(data.encode('utf-8'))
        res=base64.b64encode(res)
        res = str(res,'utf8')
        return res
    elif encrypt_or_decrypt == "decrypt":
        data = base64.b64decode(data)
        key = bytes(key1, encoding='utf-8')
        enc = rc4cipher.new(key)
        res = enc.decrypt(data)
        res = str(res,'utf8')
        return res


if __name__ == "__main__":
    data = '测试'
    key = 'edinayarossiya'


    datas=['fVQMox8c','bE8Yjg==','bkoJoy0=','LEtihSAW6eunMDV+Aes3rVhAClFoaQM=','XGon61cwprfREQZ+AehCnwI2Q30+EA==','ADFOtVtjiZGI','ABVLnR0gzY7neRx+Aeg=','ABVLniF5jMfxSQ==','ABVLgzMOlsKnJxwWMOg=','ABVLhRsuycL4LFI+SMI3vXQJHXggc2czmduXAivp0jSxF5aMYw==','ABVLlRsw3I7jOhwoG5h35HFAHSBofgM=','LFw=','ABVLkAAgxIv2Jl8vB5B35HEdXDxH','ABVLkiIWlsKnMBxzV4YyvT4XHCtkEA==','ABVLlRsw3I7jOhwfF5R7vTQWQ1JoaQM=','b1cZvBoq35btMUV1AZN+tyUA']
    for res in datas:
        print(rc4_algorithm('decrypt', res, key))

这里只解密了一部分密文，可以从图中看出 该样本查询了电脑相关信息

C2解密

c2使用了不同的密钥进行解密，ip=hxxp://51(.)195(.)166(.)184/

该c2已经在vt报毒

获取电脑相关信息

判断启动权限

创建为8724643052互斥体，判断进程信息是否等于  S-1-5-18

注册表检索机器ID

通过RegQueryKeyExW和RegQueryValueExW函数从注册表项“ SOFTWAREMicrosoftCryptography ”中检索机器 ID

获取用户名

最后生成上传格式

machineId=<MachineGuid>|<用户名>&configId=<RC4 密钥>

链接c&2

获取特殊路径文件夹

SHGetFolderPath来获取特殊路径

由于分析该样本是 C2已经失效，后续操作无法进行~

不过根据经验可以知道：无非就是下载恶意文件进行持久化，上传个人信息，监听等等。

结论

c&2：55(.)195(.)166(.)184

path：C:\Users\<User>\AppData

Raccoon家族自从2019 年首次发布后，这是第二个主要版本，这很可能该家族可能会不断发展（从目前情况看过杀软并不是很强，小白可以使用来练手~）

算是一个比较简单的病毒家族，如果有不足请提出~大家一起学习 :)