RL窃密木马样本分析技术文档

1. 样本概述

RL窃密木马是44Caliber和StormKitty恶意软件的变种，属于当前流行的窃密远控类木马，被广泛用于黑产和APT攻击活动中。

主要特征：

• 编程语言：C#
• 保护方式：多层混淆加密处理
• 攻击目标：窃取主机敏感信息
• 传播方式：通过付费博客文章附带下载链接传播

2. 样本结构分析

2.1 初始样本

初始样本采用C#编写并经过混淆加密处理，主要功能是作为加载器。

2.2 载荷解密流程

1. 初始样本解密出第一层Payload
2. 第一层Payload是一个注入加载器模块
3. 加载器模块解密出最终的窃密木马Payload

3. 窃密功能分析

3.1 文件系统操作

// 创建窃密数据存储目录
if (!Directory.Exists(targetDir))
{
    Directory.CreateDirectory(targetDir);
}

3.2 信息窃取模块

3.2.1 浏览器数据窃取

• 支持的浏览器：未明确列出但包含常见浏览器
• 窃取数据类型：Cookie、历史记录、保存的密码等

3.2.2 文件窃取

• 目标目录：用户文档、下载、桌面等常见位置
• 文件类型：文档、图片、数据库等敏感文件

3.2.3 虚拟货币钱包

• 目标钱包：常见加密货币钱包应用
• 窃取内容：钱包文件、私钥等

3.2.4 邮件客户端

• 目标应用：Outlook
• 窃取内容：账户凭据、邮件数据

3.2.5 系统信息收集

• IP地址
• 屏幕截图
• 运行进程列表
• 系统配置信息

3.2.6 应用程序数据

• VPN客户端配置
• Uplay游戏平台
• Minecraft游戏数据
• Discord聊天应用
• FileZilla FTP客户端
• Telegram即时通讯
• Vime等应用数据

4. 数据外传机制

4.1 数据打包

1. 将所有窃取的数据集中到一个目录
2. 使用压缩加密打包
   • 压缩格式：ZIP
   • 加密密码：123456（硬编码）

4.2 外传方式

通过Telegram Bot API发送到C2服务器：

• 文件命名："RL STEALER"
• 传输协议：HTTPS
• C2服务器URL：未在分析中明确给出具体地址

4.3 痕迹清除

// 删除窃密数据目录和文件
Directory.Delete(targetDir, true);
File.Delete(tempFile);

5. 技术亮点

1. 多层加密：采用至少两层加密保护核心Payload
2. 模块化设计：注入加载器与窃密模块分离
3. 全面信息收集：覆盖系统信息、应用数据和网络账户
4. 隐蔽传输：使用Telegram Bot作为C2通道
5. 痕迹清理：操作完成后自动删除中间文件

6. 检测与防护建议

6.1 检测指标

• 进程行为：
  • 短时间内访问大量敏感目录
  • 创建临时目录并大量写入数据
• 网络行为：
  • 与Telegram API服务器的异常连接
  • 突发性大文件上传
• 文件特征：
  • 使用简单密码(123456)加密的ZIP文件
  • "RL STEALER"命名的数据包

6.2 防护措施

1. 应用控制：

   • 限制非必要应用程序访问敏感目录
   • 监控异常的文件系统操作

2. 网络控制：

   • 限制出站连接到Telegram API
   • 监控异常数据外传

3. 系统加固：

   • 使用强密码保护压缩文件
   • 定期检查系统异常进程

4. 安全意识：

   • 警惕付费技术文章中的下载链接
   • 避免从不可信来源下载样本

7. 分析工具建议

1. 静态分析：

   • dnSpy：用于C#逆向分析
   • ILSpy：.NET程序反编译

2. 动态分析：

   • Process Monitor：监控文件/注册表操作
   • Wireshark：分析网络流量
   • API Monitor：跟踪WinAPI调用

3. 辅助工具：

   • CyberChef：数据解码分析
   • 7-Zip：处理加密压缩包

8. 关联分析

该样本与以下恶意软件家族存在关联：

• 44Caliber窃密木马
• StormKitty恶意软件

具有相似的：

• 数据收集范围
• 外传方式
• 代码混淆技术

9. 总结

RL窃密木马代表了当前窃密类恶意软件的典型特征：

1. 采用多层保护对抗分析
2. 广泛的敏感信息收集能力
3. 使用合法网络服务(C2)提高隐蔽性
4. 完备的痕迹清理机制

这类威胁需要结合行为检测和网络流量分析进行有效防御，单纯的签名检测已不足以应对。