首页 > 其他分享> > 电商思路用于恶意软件售卖？用服务口碑抢占市场的Raccoon间谍软件介绍

电商思路用于恶意软件售卖？用服务口碑抢占市场的Raccoon间谍软件介绍

2021-04-11 12:05:16 作者：互联网

介绍

Raccoon恶意软件是2019年地下经济中最流行的十大恶意软件之一，它既不复杂也不创新，但在出现不到一年的时间内已感染了全球成千上万的设备，吸引了众多网络犯罪分子使用。Raccoon的流行也表明，恶意软件商品化的趋势正变得越来越强，恶意软件创作者从亲力亲为逐渐转型为供应商的角色。

本文将重点关注两个方面：一是介绍Raccoon的背景，包括起源、团队成员、商业模式、营销方式、欢迎程度、竞争关系等；二是Raccoon存在的一些技术缺陷和未来可能的发展方向。

图1.2019年1至7月，Recorded Future统计的十大恶意软件发展情况

要点

· Raccoon间谍软件：Cybereason Nocturnus团队自2019年4月以来一直在调查涉及Raccoon的多起事件，现在能够对恶意软件的技术方面进行全面分析，调查显示它背后的团队可能归属俄罗斯。

· 窃取大量数据：Raccoon并不复杂，但利用了几种潜在的交付方法，能够窃取大量重要数据，包括信用卡信息、加密货币钱包、浏览器数据和电子邮件凭证。

· 快速扩张：Raccoon虽然于今年年初发布，但它在地下社区的爆炸式增长已成为2019年市场上十大最受引用的恶意软件之一，并感染了全球数十万个端点，遍及北美，欧洲和亚洲的组织和个人。

· 轻易上手：Raccoon遵循恶意软件即服务的模型，使个人可以快速简便地使用，无需花费大量的金钱投入或技术成本。

· 追随者广泛：Raccoon背后的团队因其服务水平而备受赞誉。

Part 1.Raccoon背景

什么是Raccoon间谍软件？

Raccoon，也被称为“ Mohazo”或“ Racealer”，其核心是一种简单的信息窃取程序，通常在Fallout和RIG漏洞利用工具包中看到。它被用来窃取信用卡信息、加密货币钱包、浏览器相关数据和邮件客户端等数据。

Raccoon用C ++编写，可在32位和64位操作系统上工作。最初它被许多安全产品公司归类为密码窃取器，但它实际能利用的功能要更为广泛。

Raccoon背后的威胁行为者

Raccoon由一支疑似源自俄罗斯的团队开发，最初在俄语***论坛中推广，但现在也在英语社区中积极宣传。

图2.Raccoon在俄罗斯地下论坛上销售

Raccoon以MaaS的形式出售，具有易于使用的自动化后端面板和防弹主机，能24小时支持客户的需求，每月使用费约为200美元。

图3.联系方式

Raccoon开发周期很快，往往在几天内就发布更新、bug修复和新特性。背后团队在地下社区也非常活跃，他们的用户名是raccoonstealer，每天都在地下论坛和Telegram上发帖，并积极回复社区内的问题和评论。

尽管Raccoon背后团队的身份仍然未知，但Raccoon的竞争对手——predator间谍软件的创作者 Alexuiop1337指出Raccoon是另一知名***glad0ff所作。对竞争对手的指控我们不应该全信，但通过Raccoon面板和泄露的客户数据显示，Raccoon管理员的用户名是glad0ff（2019年2月在数据库中创建的），这点能把glad0ff和Raccoon联系在一起。

图4.Raccoon数据库中的glad0ff用户创建日期

GLAD0FF是谁？

glad0ff是一个长期活跃的***，开发了Decrux和Acrux加密矿工，以及Mimosa RAT、ProtonBot加载器之类的恶意软件。glad0ff的客户群体主要是那些不怎么老练的威胁分子，以服务质量、奉献精神和响应能力获得了许多客户的称赞。

有人质疑Raccoon模仿了Vidar、Baldr之类的间谍软件，因为它们在功能上很类似，但Raccoon成员始终否认与其他团队有任何联系。

Raccoon的受欢迎度

Raccoon的售后工作也做得相当到位，许多人为Raccoon撰写了好评，有人甚至认为它是另一款著名的间谍软件——Azorult的高性价替代品，而批评的声音主要集中在Raccoon相比其他的间谍软件，有过于简单、特色不明、缺乏创新的缺点，但高质量的服务能弥补很大程度上弥补这些缺陷。

功能有限的Raccoon却能如此受欢迎，也说明了恶意软件商品化的趋势越来越强，创作者逐渐转型为供应商的角色。

Part2.Raccoon分析

Raccoon传递机制

Raccoon的传递方式多种多样，最常见的是漏洞利用工具包（EK）、网络钓鱼***和捆绑的恶意软件。

· 漏洞利用工具包

漏洞利用工具包会在受害者浏览网页时自动利用计算机上的漏洞。用户访问恶意页面后被重定向到到包含恶意代码的登录页面，此举通常在未经用户同意或交互的情况下执行。

为了交付Raccoon，***者利用Fallout EK从Internet Explorer生成PowerShell实例，然后下载Raccoon的核心payload。

图5.Fallout漏洞利用工具包提供Raccoon

· 网络钓鱼

网络钓鱼是一种社会工程学***，诱使用户执行恶意内容。最常见的是邮件中附带包含恶意宏代码的Office文档，宏代码会在文档打开后自动执行。

在Raccoon的情况下，文档打开后宏代码将创建与恶意域的连接并下载核心payload。

图6.恶意Word文档下载Raccoon payload

· 捆绑恶意软件

捆绑的恶意软件是指那些从不正规网站上下载的假合法软件，这类恶意软件在安装过程中通常对用户隐藏，或者利用社交工程技术来进行安装。

探索RACCOON的代码和核心功能

图7.***者计算机上的恶意软件编译的内部路径

如上所述，Raccoon队似乎是俄罗斯血统。在内部路径中发现的错字也表明他们对英语的生疏。

图8.Raccoon团队发布了针对第三方加密器的建议

Raccoon的核心payload未加壳，也不包含内置的反调试或反vm保护。它按原样出售，没有防分析师或检测人员的任何保护机制，但Raccoon团队会建议客户使用第三方加密程序GreenCrypt来规避杀毒产品。

RACCOON与其C2服务器的通信

加载器在目标计算机上执行后，将在内存中解包并连接到C2服务器。Raccoon使用base64编码的参数bot_id和config_id发送POST请求。

图9.Raccoon发送带有两个参数的POST请求

成功连接并验证了Raccoon的Bot ID后，它将下载一个包含多个不同dll的压缩zip文件。这些DLL本身不一定一定是恶意的，但Raccoon依靠它们来收集和窃取目标计算机上的数据。

收集目标计算机上的本地设置

图10.Raccoon检查目标计算机的本地设置

不过Raccoon会先检查目标计算机的本地设置，并将其与一系列语言进行比较，包括俄语、乌克兰语、白俄罗斯语、哈萨克语、吉尔吉斯语、亚美尼亚语、塔吉克语和乌兹别克语。如果相匹配，恶意软件将立即中止。这是来自独联体国家的恶意软件的常见做法。

收集敏感数据

初始感染后，Raccoon会使用多种方法来收集敏感信息，并存储在Temp文件夹中。

截屏

图11.Raccoon恶意截屏

Raccoon使用GetDesktopWindow和CreateCompatibleBitmap获取屏幕截图，并另存为screen.jpeg在Temp文件夹中。

窃取系统信息

Raccoon收集的信息包括用户名、IP地址、语言设置、操作系统版本、安装的应用程序信息、CPU和内存信息，并存储在以下位置的文本文件中：

C:\Users\[user]\AppData\Local\Temp\machineinfo.txt

图12.收集信息

窃取浏览器信息

浏览器数据很多都存储在本地计算机上的SQLite数据库文件中，比如当用户在浏览器中保存其用户名和密码时，浏览器会将数据存储在Login Data SQLite数据库文件中。浏览器还将cookie信息存储在cookie文件中，并将其他自动填充数据(如信用卡数据)存储在Web Data文件中。

Raccoon能从30多个浏览器中窃取信息。它在注册表软件配置单元中搜索安装的浏览器，并从目标浏览器中窃取凭据、cookie和自动填充数据。

被Raccoon盯上的浏览器

图13.Raccoon窃取浏览器信息的配置代码示例

Raccoon将目标浏览器数据文件以随机名称复制到Temp文件夹中，用DLL SQLite3.dll来解析文件并提取数据。被窃取的信息被分成几个文本文件，这些文件以其关联的浏览器命名，并保存在Temp/browser下。

Raccoon还创建了一个名为password .txt的主文件，其中包含窃取的所有密码。

图14.passwords.txt格式示例

窃取Outlook账户

Raccoon的代码可提取Microsoft Outlook的帐户信息。

图15.提取Microsoft Outlook帐户信息的代码