ilhancvndr/Stealc-Malware-Analysis

# Petshop.exe - Stealc 信息窃取器技术分析报告 本仓库包含对 **Stealc**（信息窃取器）家族的 `Petshop.exe` 样本进行的全面静态和动态分析工作。本项目旨在了解该恶意软件的感染周期、反分析技术及数据窃取机制。 ## 样本信息 (Sample Information) 以下为所分析的恶意软件样本的身份信息及 MalwareBazaar 参考： * **文件名:** `Petshop.exe` * **恶意软件类型:** InfoStealer (信息窃取器) * **MD5:** `01649005C39B68E96038ECF1326F8036` * **SHA256:** `8a73b841f8c01a43987ba35ed668896b4787efc87883f5fad1b510be4a96accc` * **MalwareBazaar:** [查看](https://bazaar.abuse.ch/sample/8a73b841f8c01a43987ba35ed668896b4787efc87883f5fad1b510be4a96accc) ## 分析摘要 ### 阶段 1: 静态 & 动态分析 * **加壳:** 发现该恶意软件的 `.text` 节区已被加壳 (packed)。 * **开发环境:** 这是一个使用 Microsoft Visual C++ 8 开发的 32 位可执行文件。 * **反分析:** 恶意软件使用带有空参数的 API 和干扰性代码来增加分析过程的难度。 ### 阶段 2: Stealc 活动 * **反沙箱:** 检查设备的核心 (CPU) 数量（如果少于 2 则终止），并通过 `VirtualAllocExNuma` API 检查是否存在物理 CPU。 * **地理定位目标:** 通过检查用户的默认语言 ID (LCID)，该恶意软件仅在某些特定地区（如克罗地亚语、斯洛伐克语、土耳其语等）激活运行。 * **加密:** 关键字符串使用 **RC4** 算法进行加密。 * **RC4 密钥:** `5329514621441247975720749009` * **C2 通信:** 窃取的数据通过 HTTP POST 请求外发至 `http[:]//171.22.28.221/5c06c05b7b34e8e6.php`。 ## MITRE ATT&CK 矩阵 该恶意软件行为对应的 MITRE ATT&CK 映射如下： | 战术 | 技术 | ID | | :--- | :--- | :--- | | **Discovery（发现）** | System Information Discovery | T1082 | | **Defense Evasion（防御规避）** | Indicator Removal on Host: File Deletion | T1070 | | **Credential Access（凭证访问）** | Steal Web Session Cookie | T1539 | | **Command and Control（命令与控制）** | Application Layer Protocol: Web Protocols | T1071 | | **Exfiltration（数据窃取）** | Exfiltration Over C2 Channel | T1041 | ## YARA 规则 根据分析发现生成的 YARA 规则可在报告内容中查阅。 ## 👥 作者 本工作由以下人员共同完成： * [İlhan Can ÇAVUNDUR](linkedin.com/in/ilhan-can-çavundur-249b93296) * [Ömer Faruk KÖMÜR](linkedin.com/in/ömer-faruk-kömür-a07842173) **⚠️ 法律声明:** 本报告仅用于教育和网络安全研究目的。所分析的文件为活性的恶意软件，只能在隔离的虚拟环境中运行。

标签：C2通信, CPU检测, DAST, DNS 反向解析, HTTP工具, MalwareBazaar, OpenCanary, Petshop.exe, RC4加密, Stealc, Visual C++, 云安全监控, 云资产清单, 信息窃取程序, 反沙箱, 地理定位, 威胁情报, 安全报告, 开发者工具, 恶意软件分析, 数据窃取, 木马, 沙箱逃逸, 网络安全, 逆向工程, 隐私保护, 静态分析, 黑产