前言概述

近日笔者在逛国外博客网站，发现一篇分析报告，如下所示：

[出自:jiwo.org]

窃密远控类木马是最近几年全球最流行的木马，不管是黑产组织、还是APT组织目前都热衷于使用各种窃密远控类木马进行相关攻击，窃取受害者主机信息。

本来想看看是个什么样的窃密木马，发现还需要付费阅读，每个月要5美元，发现下载链接还未失效，从给出的下载链接下载到该窃密木马样本，自己动手分析了一下，分享出来给大家参考学习一下。

原文链接：

https://ak100117.medium.com/analyzing-rl-stealer-a-variant-of-44caliber-and-stormkitty-malware-dbb1c476b288

样本分析

1.样本使用C#语言编写，有混淆加密处理，如下所示：

2.主程序代码，如下所示：

3.解密出来的PayLoad，如下所示：

4.解密出来的PayLoad是一个注入加载器模块，如下所示：

5.解密出最后的PayLoad，如下所示：

6.然后通过Base64解码，如下所示：

7.使用C#语言编写，如下所示：

8.主程序代码，如下所示：

9.解密出来的PayLoad是一款窃密木马，判断相关目录是否存在，如果不存在，创建相关的目录，用于存放窃取的数据，如下所示：

10.获取主机浏览器相关数据，如下所示：

11.获取主机相关目录下的文件，如下所示：

12.获取主机虚拟货币钱包数据，如下所示：

13.获取主机Outlook邮箱的帐号密码等数据，如下所示：

14.获取主机IP地址、截屏信息、进程和系统信息，如下所示：

15.获取主机VPN、Uplay、Minecraft等应用数据，如下所示：

16.获取主机系统、Discord、FileZilla、Telegram、Vime等应用数据，如下所示：

17.获取主机的相关数据，保存到生成的目录下，如下所示：

18.将获取的数据，压缩加密打包，如下所示：

19.笔者主机上压缩加密的压缩包，如下所示：

20.通过Telegram Bot发送到服务器，Caption命名为RL STEALER，如下所示：

21.Telegram Bot远程服务器URL链接，如下所示：

22.压缩加密的密码为123456，如下所示：

23.最后删除窃密的数据目录和文件，如下所示：

到此该窃密木马就分析完毕了。