首页 科技内容详情
周(zhou)全《quan》剖析 xi[Raccoon Stealer木马流动(下)

周(zhou)全《quan》剖析 xi[Raccoon Stealer木马流动(下)

分类:科技

网址:

反馈错误: 联络客服

点击直达

AllbetGmaing客户端下载

欢迎进入AllbetGmaing客户端下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

加密钱币挖掘

凭证之前总结的网络监测,研究职员看到研究职员《yuan》的“Raccoon Stealer”样本下载了两个分外的有用载荷。第一个是加密钱币挖掘工具,由本示例中从f0473248.xsph.ru/ApplicationFrameHost.exe下载的加载程序Raccoon Stealer安装。

代码自己是基于SilentXMRMiner,用Visual Basic .NET编写:


SilentXMRMiner Github页面宣传了它的防御、逃避和持久化功效

挖矿程序的设置允许攻击者通过图形界面确定它挖「wa」掘的加密钱币类型、它毗邻的矿池和钱包地址。天生的挖矿程序设置被打包作为有用载荷流传,Raccoon允许其用户通过基于Tor的网络界面部署此类有用载荷。


SilentXMRMiner设置构建器的屏幕截图


挖矿程序的.NET 代码是用基于de4dot剖析的Crypto Obfuscator来混淆的,Crypto Obfuscator是一款功效壮大且易于使用的产物,可用于.Net软件的代码珍爱,部署和优化。代码和知识产权珍爱(ai),加密混淆器使用高级代码珍爱和混淆手艺,以防止黑客,黑客或竞争对手对您的程序集举行逆向工程,反编译或反汇编。改善和简化的部署,加密混淆器可以将『jiang』所有隶属程序集和任何其他程序集集成到一个主程序集中。 它还可以对它们举行加密和压缩,以提高珍爱水平并减小部署规模。加密混淆器通过消除种种不需要和冗余的信息来优化.Net程序集的性能。 它还将压缩程序集资源和任何隶属程序集,以显着减小软件的总巨细。 最后,它还会执行某些代码级其余优化,以提高软件的运行时性能。它的行为方式如下:

检查运行的历程:若是挖矿程序的另一个副本已经在运行,它将终止执行;

自我复制到%TEMP%\RtkAudUService64.exe;

添加“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”注册表项以实现持久性;

执行 %TEMP%\RtkAudUService64.exe;

新的实例运行正当版本的File Explorer可执行文件(Explorer .exe),并通‘tong’过RunPE方式将挖矿程序代码注入到该历程中,用挖矿程序代码替换(huan)Explorer .exe内存中的代码。


Raccoon Stealer示例的执行流程

执行RunPE“process hollowing.”的代码块

挖矿程序的设置被加载程序以参数的形式转达给被process hollowing处置的历‘li’程(如图中历程流程图左上方的“explorer.exe”历程所示),设置参数包罗挖矿币的类型、要毗邻的挖矿池的URL,以及由挖矿程序构建器设置的其他设置:


研究职员发现了该流动使用的两个钱包,均用于 门罗币,第一个在其生命周「zhou」期内支付了 10.04 门罗币:


第二个支付了4个门罗币


这相当于约莫2900美元

对挖矿程序举行Clipper化处置


挖矿程序显然不是『shi』Raccoon Stealer源域中唯一的第二阶段有用载荷(f0473248.xsph.ru),VirusTotal的纪录显示,该领域在2020年10月至2021年4月时代流传了18个有用载荷,这段时间内举行了大部门观察,而且该流动处(chu)于活跃状态。

虽然许多都是研究职员上面评估的挖矿程序的变体,但其他有用载荷提供了一个名为QuilClipper的“clipper”恶意软件。这种信息窃取恶意软件挟制加密钱币,将它们导向恶意软件的运营商。

Raccoon Stealer提供的初始载荷是一个加载程序,用 .NET 编写『xie』,经由大量混淆和打包。对解压样本的静态剖 po[析解释,加载程序包罗3个主要组件:一个加密的有用载荷、一个用于逃避剖析的反虚拟机「ji」模块,以及一个 RunPE 模块,用于执行与 Raccoon Stealer 自己用来执行的相同类型的process hollowing。

新2会员手机管理端

新2会员手机管理端(www.22223388.com)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2会员手机管理端、新2手机版【ban】登录网址、新2皇冠登录网址。


用于将 Clipper 恶意软件加载到内存中的 RunPE 模块可以从五个差其余可执行文件中举行选择以运行并替换为恶意〖yi〗软件代码,加载程序的加密有用载荷是QuilClipper自己。

编译后的 AutoIT 可执行文件 QuilClipper 自 2018 年以来一直在起劲使用,首先宣布在 darkwebs.ws(现在已关闭)上,clipper 恶意软(ruan)件的源代码在地下论坛上泄露。虽然 QuilClipper 的原开发者是“shi”俄语使用者,他在论坛和代码‘ma’中使用昵称“nzx”,但 QuilClipper 的这个示例“li”包罗差其余“yu”作者昵称:MickeyMF。

QuilClipper 通过连续监控它熏染的 Windows 装备的系统剪贴板来『lai』窃取加密钱币和 Steam 生意,通过正则表达式矩阵运行剪贴板内容来识别加密钱币钱包地址和 Steam 生意报价,以识别它们:




研究职员能够提取此 QuilClipper 流动中使用的加密钱币钱包的完整列表:



通过检查流动中使用的比特币钱包地址,研究职员可以看到每小我私人的余额详细信息。第一个(上面符号为btc)有约莫5000美元的余额,第二个价值约 2500 美元。以太坊钱包包罗2.792996354 ETH ——相当于约莫6700美元。

Raccoon / QuilClipper毗邻

在 Virustotal 上剖析与 .Net loader 和 clipper 类似的样本时,研究职员发现更多样本托管在域 bbhmnn778.fun 上。一些 .NET 加载【zai】程序是 Raccoon Stealer,QuilClipper 和 Raccoon 示例都使用我们在最初的 Raccoon 示例中找到的 Raccoon Telegram 频道:telete.in/jbitchsucks。观察这些文件并搜索它们【men】的文件名,研究职员发现了一个宣传 Raccoon Stealer 和 QuilClipper 的 YouTube 频道。


“Black Rabbit”——一个宣传 Raccoon Stealer 和 QuilClipper 的 YouTube 频道(现在已经被删除)

在宣传 QuilClipper 的视频中,引用了相同的攻击者昵称 (MickeyMF)。

Raccoon Stealer的基础设施

为了更好地领会Raccoon Stealer的第二阶段部署基础设《she》施,研究职员检查了毗邻到根域xsph.ru的其他子域。在xsph.ru下有跨越60个子域名的纪录,其中21个在所有这些域名中都是通过俄罗斯主机提供商SprintHost.ru注册的,并通过该公司的域名服务举行治理。但『dan』现在没有与这些域关联的主机,而且域注书籍身在2021年7月尾到期。

许多子域遵照与研究职员的Raccoon Stealer示例中使用的子域相同的命名模{mo}式,而其他子域显然保留用于其他义务,包罗钓鱼(例如名为“wellsfargosecurecloud”和“chaseonlinesecure”的子域)。Sophos对子域名的监测显示,至少在去年,它经常被用作网络钓鱼流动的一部门。用于服务这些子域名的主机已经托管在位于圣彼得堡的SprintHost基础设施上的种种共享IP地址上,他们‘men’还与其他恶意软件下载有关联。

研究职员查看了已往六个月与 Raccoon 基础设施相关的其他域,Marina Grodovich 的名字经常泛起在 Raccoon Stealer 域的注册中。该名称与自 2020 年 9 月以来在 Raccoon Stealer 攻击中使用的总共 94 个域相关联。


DomainTools的截图显示了一些与组织名称绑定的94个域『yu』名,用于注册Raccoon Stealer下令和控制网关域

许多托管有用载荷下载的第二阶段域都绑定《ding》到一个用于注册它们的Gmail地址,例如Youtube上演示的Raccoon使用aun3xk17k.space下载QuilClipper。


该地址用于注册“黑客”社区以及种种正当网站,如 Linkedin、Dropbox 和 Bitly


自界说攻击服务的趋势

这场浣熊窃贼流动解释晰犯罪流动的工业化水平。使用一系列付费服务——投放程序即服务来部署 Raccoon,除了窃{qie}取程序即服务 Raccoon 自己,以及可能是所有底层恶意软件托管即〖ji〗服务的器械这些组件,Raccoon流动的幕后攻击者能够轻松做到:

◼部署恶意软件;

◼窃取 cookie 和凭证;

◼在犯罪市场上出售那些被盗的凭证;

◼窃取价值约 13200 美元的加密钱币,并使用受害者的盘算资源在 6 个月内再挖掘2900 美元的加密钱币;

为了获得回报,攻击者在此时代向Raccoon Stealer的运营商支付了约莫1200美元,外加50美元的恶意软件构建费——约莫是收益的10%,再加上流传程序的《de》成本。正是这些经济因素使得这类网络犯罪云云具有吸引力和危害性。它增添了数十或数百个自力的Raccoon攻击者,为Raccoon的开发职员和许多其他支持恶意服务提供商提供了大额回报,使他们能够继续改善和扩大他们的犯罪【zui】服务。

本文翻译自:https://news.sophos.com/en-us/2021/08/03/trash-panda-as-a-service-raccoon-stealer-steals-cookies-cryptocoins-and-more/
  • 欧博网址多少 @回复Ta

    2021-09-02 00:03:04 

    欧博allbet网址www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    可以多看几遍

    • 以太坊彩票网 @回复Ta

      2021-09-07 10:47:02 

      www.x2w18.com)实时{shi}更新发布最新最快最有效的手机新2管理端网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。特别难得的好文

  • 新2网址(www.22223388.com) @回复Ta

    2021-09-16 00:00:07 

    AllbetGmaing电脑版下载www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    有看点

    • 澳洲幸运5开奖网(a55555.net) @回复Ta

      2021-09-17 19:38:33 

      下潘『pan』村是广东省惠州市龙门县平陵街蹊径滩村辖下的一个村小组。1992年2月的一天,潘丽芬刚满月,在下潘村周围的矿区(qu)里,有对湖南籍配偶将她送给了潘金洪配偶。今年2月,潘丽芬被医院诊断为肝恶性肿瘤。试试看

      • 新2最新网址(www.22223388.com) @回复Ta

        2021-09-17 20:29:26 

        由于滋生成真相对较低而且有较大的随机性,许多人便职业从事宠物繁育事情,为了不虚耗,就会泛起基因混杂而且手艺配合也异常弱的宠物。本赛季改版前,PVE奖励高难度小,这也就是为什么这类宠物纵然很弱,依然有较大的市场需求,并有大量的繁育,由于低价会导致更快的回本周期。游戏的最快回本周期一度缩短至25天,这就是为什么前两周SLP代币一直在下跌的主要缘故原由。我猜没人不喜欢看

        • 环球ug会员开户(www.ugbet.us) @回复Ta

          2021-09-18 20:44:35 

          USDT线上交易www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

          我觉得挺好看的

  • 手机新2管理端(www.22223388.com) @回复Ta

    2021-09-28 00:01:41 

    www.ipfs8.vip)是FiLecoin致‘zhi’力服务于使用FiLecoin存 cun[储和检索数据的官方权威『wei』平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿〖kuang〗池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信 xin[息。并(bing)开放FiLecoin(FIL)交〖jiao〗易所、IPFS云矿机、IPFS矿机出售、租用{yong}、招商等业务。天堂啊

  • USDT自动充提教程(www.6allbet.com) @回复Ta

    2021-10-02 00:00:59 

    环保局说明,业者收运垃圾至焚化厂,以秤重方式按比例计价,一吨2705元「yuan」,有接〖jie〗获业「ye」者反映,所使用『yong』车辆有巨细之分,未来会与环保署 shu[研拟分级收费;由于《yu》一样(yang)平常垃圾袋材质“zhi”是聚乙烯,专用垃圾袋也是聚乙烯,因此并无增添空污问题。这作者妥妥的高材生

  • 新2网址(www.22223388.com) @回复Ta

    2021-10-04 00:01:05 

      而最新的NFT玩法非Loot莫属,简朴来说,Loot 是一种仅包罗文本的链上NFT,每铸造一个Loot,就会以文本的形式获得一组物品。直观来看,它就是只有白色文本和玄色靠山txt文字。 看简介应该不错

  • USDT手机钱包(www.usdt8.vip) @回复Ta

    2021-10-05 00:00:30 

    www.x2w0000.com)实时更新(xin)发布最新最快的新2手机管理端网【wang】址、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址『zhi』。字字珠玑

  • U交所(www.usdt8.vip) @回复Ta

    2021-10-06 00:03:13 

       【免责声明】本文仅代表互助供稿方看法,不代表{biao}和讯网态度。投资者据此操作,风险请自担。好文和朋友分享

发布评论