安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/news/17186
先知社区 作者:熊猫正正
近日笔者在逛国外博客网站,发现一篇分析报告,如下所示:
窃密远控类木马是最近几年全球最流行的木马,不管是黑产组织、还是APT组织目前都热衷于使用各种窃密远控类木马进行相关攻击,窃取受害者主机信息。
本来想看看是个什么样的窃密木马,发现还需要付费阅读,每个月要5美元,发现下载链接还未失效,从给出的下载链接下载到该窃密木马样本,自己动手分析了一下,分享出来给大家参考学习一下。
原文链接:
https://ak100117.medium.com/analyzing-rl-stealer-a-variant-of-44caliber-and-stormkitty-malware-dbb1c476b288
样本分析
1.样本使用C#语言编写,有混淆加密处理,如下所示:
2.主程序代码,如下所示:
3.解密出来的PayLoad,如下所示:
4.解密出来的PayLoad是一个注入加载器模块,如下所示:
5.解密出最后的PayLoad,如下所示:
6.然后通过Base64解码,如下所示:
7.使用C#语言编写,如下所示:
8.主程序代码,如下所示:
9.解密出来的PayLoad是一款窃密木马,判断相关目录是否存在,如果不存在,创建相关的目录,用于存放窃取的数据,如下所示:
10.获取主机浏览器相关数据,如下所示:
11.获取主机相关目录下的文件,如下所示:
12.获取主机虚拟货币钱包数据,如下所示:
13.获取主机Outlook邮箱的帐号密码等数据,如下所示:
14.获取主机IP地址、截屏信息、进程和系统信息,如下所示:
15.获取主机VPN、Uplay、Minecraft等应用数据,如下所示:
16.获取主机系统、Discord、FileZilla、Telegram、Vime等应用数据,如下所示:
17.获取主机的相关数据,保存到生成的目录下,如下所示:
18.将获取的数据,压缩加密打包,如下所示:
19.笔者主机上压缩加密的压缩包,如下所示:
20.通过Telegram Bot发送到服务器,Caption命名为RL STEALER,如下所示:
21.Telegram Bot远程服务器URL链接,如下所示:
22.压缩加密的密码为123456,如下所示:
23.最后删除窃密的数据目录和文件,如下所示:
到此该窃密木马就分析完毕了。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):新型RL窃密木马样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论