历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    新型RL窃密木马样本分析
    熊猫正正 历史精选 205浏览 · 2025-03-08 11:45

    前言概述
    近日笔得在逛国外博客网站,发现一篇分析报告,如下所示:
    图片1.png
    图片加载失败
    窃密远控类木马是最近几年全球最流行的木马,不管是黑产组织、还是APT组织目前都热忠于使用各种窃密远控类木马进行相关攻击,窃密受害者主机信息。


    本来想看看是个什么样的窃密木马,发现还需要付费阅读,每个月要5美元,发现下载链接还未失效,从给出的下载链接下载到该样本,自己分析,分享出来给大家参考学习一下。
    原文链接:
    https://ak100117.medium.com/analyzing-rl-stealer-a-variant-of-44caliber-and-stormkitty-malware-dbb1c476b288


    样本分析
    1.样本使用C#语言编写,有混淆加密处理,如下所示:
    图片2.png
    图片加载失败
    2.主程序代码,如下所示:
    图片3.png
    图片加载失败
    3.解密出来的PayLoad,如下所示:
    图片4.png
    图片加载失败
    4.解密出来的PayLoad是一个注入加载器模块,如下所示:
    图片5.png
    图片加载失败
    5.解密出最后的PayLoad,如下所示:
    图片6.png
    图片加载失败
    6.然后通过Base64解码,如下所示:
    图片7.png
    图片加载失败
    7.使用C#语言编写,如下所示:
    图片8.png
    图片加载失败
    8.主程序代码,如下所示:
    图片9.png
    图片加载失败
    9.解密出来的PayLoad是一款窃密木马,判断相关目录是否存在,如果不存在,创建相关的目录,用于存放窃取的数据,如下所示:
    图片10.png
    图片加载失败
    10.获取主机浏览器相关数据,如下所示:
    图片11.png
    图片加载失败
    11.获取主机相关目录下的文件,如下所示:
    图片12.png
    图片加载失败
    12.获取主机虚拟货币钱包数据,如下所示:
    图片13.png
    图片加载失败
    13.获取主机Outlook邮箱的帐号密码等数据,如下所示:
    图片14.png
    14.获取主机IP地址、截屏信息、进程和系统信息,如下所示:
    图片15.png
    15.获取主机VPN、Uplay、Minecraft等应用数据,如下所示:
    图片16.png
    16.获取主机系统、Discord、FileZilla、Telegram、Vime等应用数据,如下所示:
    图片17.png
    17.获取主机的相关数据,保存到生成的目录下,如下所示:
    图片18.png
    18.将获取的数据,压缩加密打包,如下所示:
    图片19.png
    19.笔者主机上压缩加密的压缩包,如下所示:
    图片20.png
    20.通过Telegram Bot发送到服务器,Caption命名为RL STEALER,如下所示:
    图片21.png
    21.Telegram Bot远程服务器URL链接,如下所示:
    图片22.png
    22.压缩加密的密码为123456,如下所示:
    图片23.png
    23.最后删除窃密的数据目录和文件,如下所示:
    图片24.png
    到此该窃密木马就分析完毕了。


    总结结尾
    黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。


    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255

    没有评论

      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持