第一支活病毒觀察 : raccoon stealer 逆向分析
2021 07-30 14:20:00 被上傳於 any.run sandbox
2021 07-29 19:48:02 第一次被上傳於 virustotal
首先利用 process monitor 觀察程式行為 , 發現程式會開啟大量的 thread 並執行讀寫檔案的動作
接著執行程式 , 錄製 malware 與 C2 通訊的封包 , 觀察封包後發現 C2 會傳送一個 sqlit3.dll 和一包含有dll的zip檔給使用者
- sqlite : 用來連接 local chrome cookie db
- bunch of dll (for sql) : 輔助 malware 和 sqlite 執行
觀察封包後發現使用者會傳送一個帶有豐富使用者訊息的 zip 檔 , zip 檔內包括:
- 瀏覽器 cookie
- 系統資訊 ( 安裝了哪些程式 , OS , CPU … )
- outlook 帳密 ip
malware 把 zip 解包後隨即將 dll 檔載入記憶體
乍看之下,會以為這隻mal沒有加殼,但是實際是有的。在動態分析手動把殼給拆了之後,會發現原本亂七八糟的字串有被解回明文
browser related
解殼後的惡意程式字串中有很多 browser 名
尋找引用到 browser 字串的程式碼 , 發現 Malware 會到 userprofile 下抓取瀏覽器使用者資訊
儲存 browser 訊息的檔案 userprofile/<browser>/User Data
被竊取資訊的程式包括:
- google chrome
- google chrome SxS
- Microsoft Edge
- chromium
- Xpom
- Comodo Dragon
- Agmigo
- Orbitum
- Bromium
- Brave
- NichromeNichrome
- RockMelt
- 360Browser
- Vivaldi
- Opera
- Go
- Sputnik
- Kometa
- Uran
- CocCoc
- CentBrowser
- 7Star
- TorBro
- Shuba
- Safer Browser
- Mustang
- Superbird
- Chedot
- Torch
- QQ Browser
- UC Browser
- Waterfox
- SeaMonkey
- PaleMoon
- ThunderBird
- bitwarden
- Atomic
- 1password
惡意程式執行 sqlite3_open_v2 開啟使用者目錄下的 frAQBc8Wsa
frAQBc8Wsa 為 SQLite database , 為程式在執行過程中產生檔案 , 結束時會自動刪除
outlook related
惡意程式會透過 WinAPI 讀取與 outlook 帳戶相關的 registry key
C2 服務觀察
與 telete.in ( 195.201.225.248 ) 連接 , 連接成功的話會從 185.234.247.75 下載 dll 檔
與 telete.in 正常連接封包
telete.in 於 7/31 晚上暫停服務
8/1 下午又再次重啟