介绍
Raccoon恶意软件是2019年地下经济中最流行的十大恶意软件之一,它既不复杂也不创新,但在出现不到一年的时间内已感染了全球成千上万的设备,吸引了众多网络犯罪分子使用。Raccoon的流行也表明,恶意软件商品化的趋势正变得越来越强,恶意软件创作者从亲力亲为逐渐转型为供应商的角色。
本文将重点关注两个方面:一是介绍Raccoon的背景,包括起源、团队成员、商业模式、营销方式、欢迎程度、竞争关系等;二是Raccoon存在的一些技术缺陷和未来可能的发展方向。
图1.2019年1至7月,Recorded Future统计的十大恶意软件发展情况
要点
· Raccoon间谍软件:Cybereason Nocturnus团队自2019年4月以来一直在调查涉及Raccoon的多起事件,现在能够对恶意软件的技术方面进行全面分析,调查显示它背后的团队可能归属俄罗斯。
· 窃取大量数据:Raccoon并不复杂,但利用了几种潜在的交付方法,能够窃取大量重要数据,包括信用卡信息、加密货币钱包、浏览器数据和电子邮件凭证。
· 快速扩张:Raccoon虽然于今年年初发布,但它在地下社区的爆炸式增长已成为2019年市场上十大最受引用的恶意软件之一,并感染了全球数十万个端点,遍及北美,欧洲和亚洲的组织和个人。
· 轻易上手:Raccoon遵循恶意软件即服务的模型,使个人可以快速简便地使用,无需花费大量的金钱投入或技术成本。
· 追随者广泛:Raccoon背后的团队因其服务水平而备受赞誉。
Part 1.Raccoon背景
什么是Raccoon间谍软件?
Raccoon,也被称为“ Mohazo”或“ Racealer”,其核心是一种简单的信息窃取程序,通常在Fallout和RIG漏洞利用工具包中看到。它被用来窃取信用卡信息、加密货币钱包、浏览器相关数据和邮件客户端等数据。
Raccoon用C ++编写,可在32位和64位操作系统上工作。最初它被许多安全产品公司归类为密码窃取器,但它实际能利用的功能要更为广泛。
Raccoon背后的威胁行为者
Raccoon由一支疑似源自俄罗斯的团队开发,最初在俄语黑客论坛中推广,但现在也在英语社区中积极宣传。
图2.Raccoon在俄罗斯地下论坛上销售
Raccoon以MaaS的形式出售,具有易于使用的自动化后端面板和防弹主机,能24小时支持客户的需求,每月使用费约为200美元。
图3.联系方式
Raccoon开发周期很快,往往在几天内就发布更新、bug修复和新特性。背后团队在地下社区也非常活跃,他们的用户名是raccoonstealer,每天都在地下论坛和Telegram上发帖,并积极回复社区内的问题和评论。
尽管Raccoon背后团队的身份仍然未知,但Raccoon的竞争对手——predator间谍软件的创作者 Alexuiop1337指出Raccoon是另一知名黑客glad0ff所作。对竞争对手的指控我们不应该全信,但通过Raccoon面板和泄露的客户数据显示,Raccoon管理员的用户名是glad0ff(2019年2月在数据库中创建的),这点能把glad0ff和Raccoon联系在一起。
图4.Raccoon数据库中的glad0ff用户创建日期
GLAD0FF是谁?
glad0ff是一个长期活跃的黑客,开发了Decrux和Acrux加密矿工,以及Mimosa RAT、ProtonBot加载器之类的恶意软件。glad0ff的客户群体主要是那些不怎么老练的威胁分子,以服务质量、奉献精神和响应能力获得了许多客户的称赞。
有人质疑Raccoon模仿了Vidar、Baldr之类的间谍软件,因为它们在功能上很类似,但Raccoon成员始终否认与其他团队有任何联系。
Raccoon的受欢迎度
Raccoon的售后工作也做得相当到位,许多人为Raccoon撰写了好评,有人甚至认为它是另一款著名的间谍软件——Azorult的高性价替代品,而批评的声音主要集中在Raccoon相比其他的间谍软件,有过于简单、特色不明、缺乏创新的缺点,但高质量的服务能弥补很大程度上弥补这些缺陷。
功能有限的Raccoon却能如此受欢迎,也说明了恶意软件商品化的趋势越来越强,创作者逐渐转型为供应商的角色。
Part2.Raccoon分析
Raccoon传递机制
Raccoon的传递方式多种多样,最常见的是漏洞利用工具包(EK)、网络钓鱼攻击和捆绑的恶意软件。
· 漏洞利用工具包
漏洞利用工具包会在受害者浏览网页时自动利用计算机上的漏洞。用户访问恶意页面后被重定向到到包含恶意代码的登录页面,此举通常在未经用户同意或交互的情况下执行。
为了交付Raccoon,攻击者利用Fallout EK从Internet Explorer生成PowerShell实例,然后下载Raccoon的核心payload。
图5.Fallout漏洞利用工具包提供Raccoon
· 网络钓鱼
网络钓鱼是一种社会工程学攻击,诱使用户执行恶意内容。最常见的是邮件中附带包含恶意宏代码的Office文档,宏代码会在文档打开后自动执行。
在Raccoon的情况下,文档打开后宏代码将创建与恶意域的连接并下载核心payload。
图6.恶意Word文档下载Raccoon payload
· 捆绑恶意软件
捆绑的恶意软件是指那些从不正规网站上下载的假合法软件,这类恶意软件在安装过程中通常对用户隐藏,或者利用社交工程技术来进行安装。
探索RACCOON的代码和核心功能
图7.攻击者计算机上的恶意软件编译的内部路径
如上所述,Raccoon队似乎是俄罗斯血统。在内部路径中发现的错字也表明他们对英语的生疏。
图8.Raccoon团队发布了针对第三方加密器的建议
Raccoon的核心payload未加壳,也不包含内置的反调试或反vm保护。它按原样出售,没有防分析师或检测人员的任何保护机制,但Raccoon团队会建议客户使用第三方加密程序GreenCrypt来规避杀毒产品。
RACCOON与其C2服务器的通信
加载器在目标计算机上执行后,将在内存中解包并连接到C2服务器。Raccoon使用base64编码的参数bot_id和config_id发送POST请求。
图9.Raccoon发送带有两个参数的POST请求
成功连接并验证了Raccoon的Bot ID后,它将下载一个包含多个不同dll的压缩zip文件。这些DLL本身不一定一定是恶意的,但Raccoon依靠它们来收集和窃取目标计算机上的数据。
收集目标计算机上的本地设置
图10.Raccoon检查目标计算机的本地设置
不过Raccoon会先检查目标计算机的本地设置,并将其与一系列语言进行比较,包括俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语和乌兹别克语。如果相匹配,恶意软件将立即中止。这是来自独联体国家的恶意软件的常见做法。
收集敏感数据
初始感染后,Raccoon会使用多种方法来收集敏感信息,并存储在Temp文件夹中。
截屏
图11.Raccoon恶意截屏
Raccoon使用GetDesktopWindow和CreateCompatibleBitmap获取屏幕截图,并另存为screen.jpeg在Temp文件夹中。
窃取系统信息
Raccoon收集的信息包括用户名、IP地址、语言设置、操作系统版本、安装的应用程序信息、CPU和内存信息,并存储在以下位置的文本文件中:
C:\Users\[user]\AppData\Local\Temp\machineinfo.txt
图12.收集信息
窃取浏览器信息
浏览器数据很多都存储在本地计算机上的SQLite数据库文件中,比如当用户在浏览器中保存其用户名和密码时,浏览器会将数据存储在Login Data SQLite数据库文件中。浏览器还将cookie信息存储在cookie文件中,并将其他自动填充数据(如信用卡数据)存储在Web Data文件中。
Raccoon能从30多个浏览器中窃取信息。它在注册表软件配置单元中搜索安装的浏览器,并从目标浏览器中窃取凭据、cookie和自动填充数据。
被Raccoon盯上的浏览器
图13.Raccoon窃取浏览器信息的配置代码示例
Raccoon将目标浏览器数据文件以随机名称复制到Temp文件夹中,用DLL SQLite3.dll来解析文件并提取数据。被窃取的信息被分成几个文本文件,这些文件以其关联的浏览器命名,并保存在Temp/browser下。
Raccoon还创建了一个名为password .txt的主文件,其中包含窃取的所有密码。
图14.passwords.txt格式示例
窃取Outlook账户
Raccoon的代码可提取Microsoft Outlook的帐户信息。
图15.提取Microsoft Outlook帐户信息的代码
相关注册表项如下:
· HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
· HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Microsoft Outlook Internet Settings
· HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
在上述注册表中搜索存储在Mail客户端中的敏感信息,将其保存到Temp / mails下的文本文件中。
图16.从Mail客户端帐户收集信息
窃取加密货币钱包
Raccoon从下列地址中搜索加密货币钱包:
· C:\Users\<user>\AppData\Roaming\Electrum\wallets
· C:\Users\<user>\AppData\Roaming\Jaxx\Local Storage
· C:\Users\<user>\AppData\Roaming\Exodus\exodus.wallet
· C:\Users\<user>\AppData\Roaming\Ethereum Wallet
如找到,将保存在Temp。
为了方便客户,Raccoon提供了一项服务,可自动处理所有加密货币钱包,无需在被盗数据中搜索特定日志。
即将推出的新功能
当前版本的Raccoon没有按键记录功能。但鉴于部分客户的要求,Raccoon团队可能会在不久后添加这项功能。
数据提取和自删除
Raccoon将所有窃取的数据保存到gate.zip中,并发送到C2服务器。
图17.Raccoon收集的所有数据
成功提取所有敏感数据后,Raccoon会从计算机中删除其二进制文件,使用ping.exe生成cmd.exe并执行delete命令。
图18.Raccoon的自删除
Part 3.总结
根据地下社区的售出记录,估计Raccoon在短短几个月内已感染了全球100,000多个端点。它简单上手,背后的团队也一直在努力改进并提供响应服务,因此Raccoon颇具吸引力。它提供了一种快速简便的赚钱方法,也不需要投入大量资金或具有深厚的技术背景。
Raccoon收集了大量信息,包括信用卡信息、加密货币钱包、用户名和密码,以及用来窃取公司数据、金钱和其他敏感信息的浏览数据。这些数据被用来敲诈受害者,或被网络罪犯在地下社区出售。
