msvcp140.dll丢失有什么影响

导语：Rhadamanthys是一款非常高级的信息窃取程序，于去年9月在暗网上首次亮相，一经亮相便受到了攻击者的热烈追捧。

这款名为Rhadamanthys的信息窃取程序，在2022年9月24日由一化名为“kingcrete2022”的用户发布。开发者在论坛上潜伏了半年之久，实际可能的时间更长。恶意软件的整体构建在正式发布前一个月就已经完成。发布后，开发者不断进行版本更新，添加了一系列功能和子功能，并提供了英语和俄语支持。短短时间内，数千个用户的信息、数十万个密码和数百个加密货币钱包被窃取。为了扩大攻击范围，开发者甚至对购买其服务的用户提供了售后服务。

攻击目标

Rhadamanthys的开发者并不关心用户如何处理窃取的数据，无论是用于欺诈、出售数据还是发动内战，对他们来说都无所谓。这款现成恶意软件的主要客户是那些想投机取巧的网络犯分子，他们的目标是在任何时间感染任何人。活动遍布世界各地，特别是在一些地方，运营商已经开始进行创造性迭代，例如以OBS studio等视频编辑软件为幌子传播样本，通过谷歌广告推送给不知情的。

功能概述

Rhadamanthys包含的功能非常多，设计原则就是囊括信息窃取所需的一切功能和相关扩展。

它包括窃取的系统信息，如计算机名称、用户名、内存容量等；从FTP客户端窃取凭据，如来自Cyberduck、FTP Navigator等；邮件客户端如CheckMail, Clawsmail等；双因素验证应用程序和密码管理器如RoboForm、RinAuth等；VPN业务如AzrieVPN、NordVPN等；笔记应用程序如NoteFly、Notezilla等；即时通讯应用程序的消息历史记录如Psi+、Pidgin等；还窃取了Steam、TeamViewer等的凭据。

当Filezilla FTP凭据出现在攻击者端时，也会被Rhadamanthys窃取。开发者特别强调了与窃取加密货币相关的功能，在一个版本更新中，新增了9项功能，其中4项是对加密货币钱包的窃取和的增强。

所有这些窃取行为都是在感染后自动执行的。如果攻击者决定对受感染的设备进行更多的操作，他们可以将新配置推到“文件抓取”模块，该模块会窃取与windows搜索查询匹配的所有文件。

技术分析

初步执行流程：该恶意软件在进入信息窃取功能之前要经历六个执行阶段，包括滴管、shellcode、安装程序等。在分析Rhadamanthys时，观察到分析样本的逻辑与上述文章中描述的逻辑之间的差异，证明了恶意软件还在不断开发中。

分析孤立内存转储：在无法访问实时C2服务器的情况下，分析实际的窃取逻辑并不简单。要么执行全新的执行链，对所有阶段进行调试，并希望获得实时的C2服务器；或者在不可读的状态下使用转储，这些转储是在C2仍然存在时从沙箱运行中获得的。在这种情况下，内存转储包含许多说明恶意软件行为的字符串。

解决API调用的数据库问题：即使我们有DLL版本，微软并没有提供DLL的历史版本供下载。这类问题有多种解决方法，可以选择手动转储执行流中生成的文件。我们下载了许多dll，这些dll是恶意软件或任何软件真正想要解析API的始作俑者，如advapi32.dll、use.dll等。现在可以在反汇编程序中打开这些文件，手动加载文件并为每个DLL函数分配虚拟地址。

以Chrome信息窃取为例：恶意软件首先在文件系统中搜索名为“web data”的文件，然后遍历树查找其他工件，如“Cookie”或“登录数据”，并将每个匹配项收集到二进制位字段中。接着，它会访问用户感兴趣的文件，如登录数据，通过发出SELECT语句或解析JSON来提取所需的数据。

Rhadamanthys代表了新兴恶意软件的发展趋势，即它们尽可能多地发挥作用。这也证明了在恶意软件行业，品牌的影响力正在逐渐增大。Rhadamanthys的开发和功能集合反映了攻击者对于开发者和品牌的一种模糊感觉。开发者可以编写一段具有完整功能的恶意软件来获得市场的认可。