Telegram窃取程序深度分析与防御指南

一、恶意程序概述

这是一个针对Windows系统的32位.NET恶意程序，主要通过Telegram Bot API进行数据窃取和传输。程序具有多种窃取功能，包括浏览器数据、加密货币钱包信息和系统信息等。

二、技术分析

1. 程序结构分析

文件类型：32位.NET程序
分析工具：dnSpy（.NET反编译工具）
入口点：直接定位主函数进行分析

2. 配置信息提取

恶意程序从程序集的AssemblyDescription属性中提取配置信息：

配置信息经过Base64编码
关键数据（Telegram Token和Chat ID）使用ROT13加密
- ROT13是一种简单的字母替换密码，每个字母被字母表中第13个字母替换

3. 持久化机制

文件复制：调用persistence.CheckCopy()确保程序被复制到目标路径，防止被删除
注册表操作：
- 创建特定键值
- 检测相同键值是否存在，确保只有一个实例运行（单实例机制）

4. 反分析检测

程序会检测是否在以下环境中运行：

虚拟机环境
沙箱分析环境
检测到分析环境时，程序会自动退出

三、数据窃取功能

1. 浏览器数据窃取

窃取内容包括：

保存的密码
Cookies
自动填充信息

2. Telegram数据窃取

复制用户Telegram数据
压缩为ZIP文件
通过Telegram API发送到攻击者服务器

3. 加密货币钱包窃取

Exodus钱包

定位并复制钱包数据
压缩为ZIP
通过Telegram API发送

MetaMask

定位并复制扩展数据
压缩为ZIP
通过Telegram API发送

4. 系统信息收集

获取并保存以下信息到Log\ComputerInfo.txt：

CPU信息
GPU信息
RAM信息
系统版本信息

5. 屏幕截图功能

调用utils.desktopScreenshot()函数：

截取受害者桌面
包含在最终数据包中

6. 数据打包与传输

将所有窃取的数据压缩为ZIP文件
通过Telegram Bot API上传到攻击者账户
清理痕迹：
- 删除压缩的ZIP文件
- 自删除恶意程序

四、攻击者追踪

1. GitHub账户信息

攻击者GitHub主页：https://github.com/attatier
项目历史记录显示传播方式：
- 使用快捷方式文件(.lnk)
- 使用lnkparse工具分析

2. 传播方式分析

恶意快捷文件：
- 直接调用PowerShell
- 远程获取恶意软件
- 在受害者主机上执行
伪装技术：
- 远程获取正常PDF文件
- 执行恶意程序后自动打开PDF，掩盖恶意行为

3. Telegram账户信息

Telegram ID: 7781867830
账户哈希: 50a6880b7a2cfb41d50b9fa34438b8fa4bc209d3c71283fd0efefe10ef2bc4387dd26c19

五、防御措施

1. 检测与预防

注册表监控：
- 监控HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run等自启动位置
文件系统监控：
- 注意异常ZIP文件生成
- 监控Log\ComputerInfo.txt等异常路径
网络流量监控：
- 拦截异常的Telegram API通信

2. 分析工具

静态分析：
- dnSpy：用于.NET程序分析
- lnkparse：分析恶意快捷方式
动态分析：
- 使用隔离的沙箱环境
- 使用Process Monitor监控程序行为

3. 用户防护建议

不打开来源不明的快捷方式文件
注意PDF文件打开后是否有其他程序运行
定期检查系统启动项
使用安全软件监控异常网络连接
对加密货币钱包使用硬件钱包或冷存储

六、IoC（入侵指标）

GitHub账户：
- https://github.com/attatier
Telegram ID：
- 7781867830
文件特征：
- 从AssemblyDescription读取Base64配置
- ROT13加密的Telegram Token和Chat ID
注册表键值：
- 程序创建的特定键值（需分析确定具体键名）
网络特征：
- 与Telegram API的异常通信
- api.telegram.org/bot[token]/sendDocument等API调用

七、取证与追踪

日志分析：
- 检查程序生成的ComputerInfo.txt
- 分析ZIP文件残留（可能存在于临时目录）
流量分析：
- 捕获Telegram通信包
- 提取攻击者Chat ID和Token
内存分析：
- 提取运行时解密后的配置信息

通过以上全面分析，安全人员可以更好地理解此类Telegram窃取程序的工作原理，并采取有效措施进行防御和检测。

Telegram窃取程序深度分析与防御指南一、恶意程序概述这是一个针对Windows系统的32位.NET恶意程序，主要通过Telegram Bot API进行数据窃取和传输。程序具有多种窃取功能，包括浏览器数据、加密货币钱包信息和系统信息等。二、技术分析 1. 程序结构分析文件类型：32位.NET程序分析工具：dnSpy（.NET反编译工具）入口点：直接定位主函数进行分析 2. 配置信息提取恶意程序从程序集的 AssemblyDescription 属性中提取配置信息：配置信息经过Base64编码关键数据（Telegram Token和Chat ID）使用ROT13加密 ROT13是一种简单的字母替换密码，每个字母被字母表中第13个字母替换 3. 持久化机制文件复制：调用 persistence.CheckCopy() 确保程序被复制到目标路径，防止被删除注册表操作：创建特定键值检测相同键值是否存在，确保只有一个实例运行（单实例机制） 4. 反分析检测程序会检测是否在以下环境中运行：虚拟机环境沙箱分析环境检测到分析环境时，程序会自动退出三、数据窃取功能 1. 浏览器数据窃取窃取内容包括：保存的密码 Cookies 自动填充信息 2. Telegram数据窃取复制用户Telegram数据压缩为ZIP文件通过Telegram API发送到攻击者服务器 3. 加密货币钱包窃取 Exodus钱包定位并复制钱包数据压缩为ZIP 通过Telegram API发送 MetaMask 定位并复制扩展数据压缩为ZIP 通过Telegram API发送 4. 系统信息收集获取并保存以下信息到 Log\ComputerInfo.txt ： CPU信息 GPU信息 RAM信息系统版本信息 5. 屏幕截图功能调用 utils.desktopScreenshot() 函数：截取受害者桌面包含在最终数据包中 6. 数据打包与传输将所有窃取的数据压缩为ZIP文件通过Telegram Bot API上传到攻击者账户清理痕迹：删除压缩的ZIP文件自删除恶意程序四、攻击者追踪 1. GitHub账户信息攻击者GitHub主页：https://github.com/attatier 项目历史记录显示传播方式：使用快捷方式文件(.lnk) 使用lnkparse工具分析 2. 传播方式分析恶意快捷文件：直接调用PowerShell 远程获取恶意软件在受害者主机上执行伪装技术：远程获取正常PDF文件执行恶意程序后自动打开PDF，掩盖恶意行为 3. Telegram账户信息 Telegram ID: 7781867830 账户哈希: 50a6880b7a2cfb41d50b9fa34438b8fa4bc209d3c71283fd0efefe10ef2bc4387dd26c19 五、防御措施 1. 检测与预防注册表监控：监控 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 等自启动位置文件系统监控：注意异常ZIP文件生成监控 Log\ComputerInfo.txt 等异常路径网络流量监控：拦截异常的Telegram API通信 2. 分析工具静态分析： dnSpy：用于.NET程序分析 lnkparse：分析恶意快捷方式动态分析：使用隔离的沙箱环境使用Process Monitor监控程序行为 3. 用户防护建议不打开来源不明的快捷方式文件注意PDF文件打开后是否有其他程序运行定期检查系统启动项使用安全软件监控异常网络连接对加密货币钱包使用硬件钱包或冷存储六、IoC（入侵指标） GitHub账户： https://github.com/attatier Telegram ID ： 7781867830 文件特征：从AssemblyDescription读取Base64配置 ROT13加密的Telegram Token和Chat ID 注册表键值：程序创建的特定键值（需分析确定具体键名）网络特征：与Telegram API的异常通信 api.telegram.org/bot[ token ]/sendDocument等API调用七、取证与追踪日志分析：检查程序生成的 ComputerInfo.txt 分析ZIP文件残留（可能存在于临时目录）流量分析：捕获Telegram通信包提取攻击者Chat ID和Token 内存分析：提取运行时解密后的配置信息通过以上全面分析，安全人员可以更好地理解此类Telegram窃取程序的工作原理，并采取有效措施进行防御和检测。