Статья Я крякнул Windows и вот что со мной случилось — Raccoon Stealer: история и анализ типичного стиллера. Часть 1

Я крякнул Windows и вот что со мной случилось — Raccoon Stealer: история и анализ типичного стиллера. Часть 1​

Играет эпичная музыка, море, корабли и это не реклама World of Warships! Кто-то выкатил бочку рома и вы отмечаете успешный абордаж корабля, где-то кричат женщины, а веселый роджер сегодня веселей обычного. Это ли не счастье? Быть пиратом, свободно бороздить просторы морей и грабить, грабить, грабить.

Просыпайся, друг. Эта эпоха уже давным давно прошла, лишь влажные мечты способны окунуть тебя в неё, хотя стоп. Технологии развиваются, время идёт. Уже давным-давно какой-то интернетик появился и о нем не знают разве что папуасы. И в этом самом интернете также есть пираты… О которых сегодня и речь.

В реальности все не так романтично: здесь нет ни рома, ни корабля, ни женщин, а море лишь из проблем и мимолетной радости. Сегодня бытие пиратское больше напоминает текст и видеоряд вот этого легендарного шедевра:

Ссылка скрыта от гостей

И я не шучу. Кто у нас в реальности интернет-пираты? Правильно, жертвы. Зачастую погоня за халявой заканчивается или потерей всех конфиденциальных данных, или к вымогателю Пете, или к нервному срыву. Сегодня мы поговорим об одном очень интересном вредоносе, который уже не так активен, но всё ещё распространяется посредством сайтов с пиратским ПО: кряки, кейгены и прочая-прочая мишура. Рад приветствовать - Raccoon Stealer. И с этого момента нам понадобится наш старичок-дисклеймер, выходи:

Дисклеймер ​

На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.

Raccoon Stealer — краткая историческая сводка ​

С точки зрения моего восприятия времени, это произошло недавно, но для вас может быть и иначе, так вот в конце 2022 года компания SECOLA впервые обнаружила некие странности с целым рядом сайтов, содержащих пиратское ПО. Эти странности заключались в том, что существовало более 250 доменов и все они были созданы по одному шаблону, а также содержали примерно одни и те же программы. При более тщательном осмотре содержимого, оказалось, что все файлы из этих ресурсов содержали один и тот же тип вредоносного ПО. Да, не новость, что большинство кряков, не говорю за все, содержат в себе какой-то зловред, но здесь удивитесь масштабу всей этой кампании. 250 сайтов, содержащих как минимум по 50 образцов.

Можно подумать, что сайтики не находили целевую аудиторию, их много все-таки, но нет. Находили и вот каким образом.

Во-первых, эта кампания заручилась поддержкой Google и Yandex ADS, да-да, та самая рекламка, которую вы видите при просмотре какого-то сайта. А во-вторых, был использован уже один из самых эффективных в 2020-2024 метод привлечения аудитории на свои сайты - SEO Poisoning.

SEO poisoning (отравление поисковой выдачи) — это добавление на скомпрометированные сайты слов, способствующих подъему этих сайтов в поисковой выдаче Google. Благодаря этому вредоносные сайты могут посетить больше потенциальных жертв.

Представьте себе, что ваш знакомый ищет способ получить лицензионный антивирус, но не хочет покупать его. Он вводит запрос в поисковике, например, "скачать Касперский антивирус бесплатно". Из-за оптимизации для поисковых систем он может увидеть в начале списка сайт злоумышленника, который предлагает "крякнутую" версию антивируса. Не советую так делать…

Но не этим единым, как я уже недавно упомянул в одной из своих статей, злоумышленники в последнее время очень любят использовать источники с хорошей репутацией в поисковиках, для продвижения своего вредоносного ПО. Каким образом? Репозиторий на Гитхабе с ссылкой тому пример.

Итак, подробнее о нашем субъекте. Raccoon Stealer ориентирован на различные криптовалютные кошельки и осуществляет сбор файлов cookie, а также сохраняет данные для входа из веб-браузеров, таких как MS Edge, Firefox, Opera и Chrome.

Печеньки ворует, гад. Верни мои печеньки.

С 2019 года этот стиллер был активен на закрытых форумах и сразу привлек внимание. К 2021 году он стал одним из самых распространенных инструментов для кражи данных, используемым множеством известных киберпреступников. Благодаря своим многочисленным функциям, возможности настройки и простоте использования, Raccoon Stealer завоевал значительную популярность.

Но в марте 2022 года, разработчики в своем телеграмм-канале объявили о закрытии проекта. Не известна причина, но случилось как случилось. И на этом всё, статья закончилась…

Да, ладно шучу. В том же 2022 году, но уже в конце, резко на свет появляется возрожденный Енотик, но уже с пометкой новой версии. И начинает активно продаваться через Телеграмм-канал. Как раз в этот момент, специалисты из Secola фиксируют одну из самых больших кампаний по распространению вредоносов через сайты с крякнутым ПО. Совпадение? Да, нет конечно.

По сей день эта угроза является актуальной, если судить по телеграм-каналу стиллера, то он активно обновляется и вообще счастливо живет. Этому свидетельствуют ещё и 311 вредоносных сэмплов загруженных за последние 24 часа.

Raccoon Stealer - краткий статистический анализ​

Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:

1. DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
2. PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
3. Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
4. IDA PRO — инструмент для реверс-инжиниринга.
5. Reko — декомпилятор, который в 90% случаев бесполезный.
6. HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
7. Hidra — прекрасный и многофункциональный инструмент для реверс-инжиниринга.

Итак, начинаем с визуального осмотра нашего зловреда, по традиции уже. 3.7 МБ массы, примитивная маскировка под Hyper Terminal, цифровая подпись отсутствует и больше никаких данных. Переходим в DIE и получаем следующее:

Дата компиляции, естественно, фальшивая, это тот самый Time Stopping. Эта штука представляет собой антикриминалистический метод, используемый для того, чтобы ввести следствие и специалистов быстрого реагирования в заблуждение. Не особо получается, потому что уже мало кто обращает внимание на это.

А так это у нас PE32 исполняемый файл, который написан на C++, также можно отметить наличие протектора в виде VMProtect, в качестве компилятора использовался обычный Microsoft Linker.

И прекрасный процент обнаружения - 67 из 74, божественно.

Сегодня будет пользоваться IDA PRO в качестве основного инструмента, давайте определим примерный алгоритм работы вредноса и вектор нашего дальнейшего анализа:

Вредоносное приложение выполняет следующие функции после инициации на устройстве:

• Импорт библиотек.
• Деобфускация значений и проверка связи с командным сервером.
• Создание мьютекса.
• Проверка привилегий собственного процесса.
• Связь с C&C сервером.
• Установка дополнительных DLL библиотек и сбор информации об устройстве жертвы.
• Непосредственно кража данных.

Импорт библиотек​

Важно отметить, что разработчики стиллера Raccoon не скрывали функции "LoadLibrary" и "GetProcAddress", которые могут использоваться для потенциально вредоносных целей. Эти функции легко доступны и видны сразу после декомпиляции образца, что отличает Raccoon от других стиллеров этого же типа, которые как только не пытаются зашифровать этот самый импорт. Если меня не подводит память, при детекции вредоносного ПО в первую очередь смотрят как раз на эти импорты, поэтому Енотика намного проще обнаружить, что снижает его эффективность.

Таблица импорта здесь не такая и огромная, но всё же внушительная.

Деобфускация значений и проверка связи с командным сервером​

А здесь уже все более-менее типично, какие-то сверх важные значения, которые могут компрометировать командный сервер или сам вредонос, находятся в зашифрованном виде, выглядит это вот так:

Здесь был использован интересный метод потоковой шифровки с помощью RC4.
RC4 (Rivest Cipher 4) — это алгоритм шифрования, разработанный Рональдом Ривестом в 1987 году. Он используется для симметричного шифрования данных, то есть для защиты информации путем использования одного и того же ключа как для шифрования, так и для расшифровки. RC4 был широко использован в различных приложениях и протоколах, таких как SSL/TLS, WEP в беспроводных сетях и других, но в настоящее время из-за выявленных уязвимостей и слабостей его использование сильно сократилось в пользу более безопасных алгоритмов шифрования.

Продолжение следует…

Выводы к первой части​

Та чего выводить, Енотик всё ещё актуален, активно распространяется и дорабатывается. Одновременно и простой и сложный, но не сказал бы что надежный, он очень легко обнаруживается и сразу же заносится в антивирусные базы. Эффективность под вопросом, свидимся в следующей части.