telegram z中国（）

2,035 0

Raccoon Stealer 是一个窃密木马，使用 Telegram 作为基础设施来存储和更新实际 C&C 地址。

Raccoon Stealer 具备的典型功能如下所示：

浏览器 Cookie、登录信息与表单数据

电子邮件客户端和即时通信软件的登陆凭据

加密前包

浏览器插件和扩展数据

来自 C&C 的任意文件

Raccoon Stealer 在地下论坛积极推广并且持续开发维护，十分危险。蕞早的样本来自 2019 年四月，同月在地下论坛开始肖售。根据作者的描述，后来的更新都是为了修复错误与追加功能。

分发

已经发现 Raccoon Stealer 通过 Buer Loader 和 GCleaner 进行分发。还有一些通过破解软件进行传播。由于 Raccoon Stealer 是肖售的，分肖方式花样百出只受到想象力的限制。有些样本直接传播，有些样本使用 Themida 进行加壳，甚至有的样本连续加了五层壳。

技术细节

Raccoon Stealer 使用 C/C++ 通过 Visual Studio 开发，样本大小约为 580-600 kB。其代码质量低于平均水平，有些字符串加密了，有些没有。

执行后，Racoon Stealer 会检查区域设置。如果是以下地区，就不执行工作：

俄罗斯

乌克兰

白俄罗斯

哈萨克斯坦

吉尔吉斯斯坦

亚美尼亚

塔吉克斯坦

乌兹别克斯坦

C&C 通信

样本中有四个值对 C&C 通信至关重要，这些值都是硬编码的：

MAIN_KEY：在一年中修改了四次

URLs：带有频道名的 Telegram Gate

BotID：十六进制字符串

TELEGRAM_KEY：解密从 Telegram Gate 获得的 C&C 地址的密钥

样本的基本过程如下所示：

首先通过 MAIN_KEY解密，解密代码如下所示：

解密代码

该样本中的 MAIN_KEY是 jY1aN3zZ2j，该密钥用于解密 Telegram GatesURLs 和 BotID。

接着解密 Telegram Gate URL，样本中为 Rf66cjXWSDBo1vlrnxFnlmWs5Hi29V1kU8o8g8VtcKby7dXlgh1EIweq4Q9e3PZJl3bZKVJok2GgpA90j35LVd34QAiXtpeV2UZQS5VrcO7UWo0E1JOzwI0Zqrdk9jzEGQIEzdvSl5HWSzlFRuIjBmOLmgH/V84PCRFevc40ZuTAZUq+q1JywL+G/1xzXQdYZiKWea8ODgaN+4B8cT3AqbHmY5+6MHEBWTqTsITPAxKdPMu3dC9nwdBF3nlvmX4/q/gSPflYF7aIU1wFhZxViWq2。

首先通过 base64 进行解码：

解码

在利用 MAIN_KEY 使用 RC4 算法进行解密，得到 Telegram Gates 的字符串：

解密

通过请求 Telegram Gate，利用返回的 HTML 页面获取真正的 C&C 地址。

页面内容

页面显示了一个 Telegram 频道名称与另外一串字符串。将五个字符的前缀和六个字符的后缀删除，再通过 base64 解码获取加密的 C&C 地址：

加密地址

该样本的 TELEGRAM_KEY为 739b4887457d3ffa7b822ce0d03315ce，将其作为 RC4 的密钥进行解密可得到 http://91.219.236.18/。

通过机器 GUID 与用户名生成字符串作为 BotID，经过 RC4 加密再 base64 编码后通过 POST 请求发送给 C&C 服务器。响应也经过 base64 编码，其实为一个 JSON 文件，如下所示：

响应内容

将 Telegram 作为基础设施存放和更新 C&C 服务器的地址，在 Telegram 决定封杀滥用行为前都很方便可靠。