網(wǎng)宿安全演武實(shí)驗(yàn)室近期捕獲了RedLine Stealer惡意竊密木馬。RedLine Stealer，首次于2020年3月出現(xiàn)，是一款主要針對Windows用戶的惡意軟件，其主要目標(biāo)是竊取受害者的個(gè)人數(shù)據(jù)和信息。從各類途徑（包括破解游戲、應(yīng)用程序和服務(wù)）的傳播使其成為了一個(gè)持續(xù)的網(wǎng)絡(luò)安全威脅。

此惡意軟件的功能主要在于從多種客戶端程序中竊取登錄憑據(jù)，包括網(wǎng)絡(luò)瀏覽器、FTP客戶端、電子郵件應(yīng)用、Steam、即時(shí)消息客戶端以及VPN客戶端。其對于FileZilla、Discord、Steam、Telegram和VPN客戶端數(shù)據(jù)的竊取功能尤為顯著。除此之外，RedLine Stealer還能夠竊取儲(chǔ)存在瀏覽器中的身份驗(yàn)證cookie、信用卡信息、聊天記錄、本地文件以及加密貨幣錢包。RedLine Stealer還具備系統(tǒng)信息收集的能力，能獲取受害者系統(tǒng)的細(xì)節(jié)，例如IP地址、所在城市和國家、當(dāng)前用戶名、操作系統(tǒng)版本、UAC設(shè)置、管理員權(quán)限、用戶代理，以及關(guān)于受感染PC的硬件和顯卡的詳細(xì)信息。該軟件甚至還能檢測系統(tǒng)中已安裝的防病毒軟件。

除了信息收集之外，RedLine Stealer還充當(dāng)惡意軟件加載器的角色，可用于部署其他類型的惡意軟件，例如勒索軟件，這進(jìn)一步增加了其對網(wǎng)絡(luò)安全的威脅。此軟件會(huì)將收集的數(shù)據(jù)轉(zhuǎn)換為XML格式，然后利用多種防御逃避技術(shù)傳輸至控制服務(wù)器（C2服務(wù)器）。C2服務(wù)器是惡意軟件的遠(yuǎn)程控制中心，用于接收竊取的數(shù)據(jù)和發(fā)送控制命令。

值得關(guān)注的是，RedLine Stealer運(yùn)用了惡意軟件即服務(wù)（MaaS）的商業(yè)模式，這種模式在黑客社區(qū)中較為常見。在犯罪論壇中，RedLine Stealer的價(jià)格定為150美元/月，或者一次性支付900美元購買終身使用權(quán)。其開發(fā)者還在Telegram頻道上銷售此軟件，接受比特幣支付。購買者還可獲得一款免費(fèi)的加殼程序，用以規(guī)避安全軟件的檢測。

圖1 售賣信息

作者最近一次更新于2023年6月份，可以看到該軟件一直在持續(xù)不斷的更新中。同時(shí)，Github中有該軟件早期的泄露版本。

圖2 更新信息

RedLine Stealer有多種感染方式，包括電子郵件附件、惡意鏈接、軟件漏洞、社交工程等。它的出現(xiàn)警示我們，網(wǎng)絡(luò)安全不可忽視，一定要隨時(shí)更新防病毒軟件，提高警惕，盡可能地防止此類惡意軟件的入侵。

樣本概要：

執(zhí)行惡意文件后，它會(huì)向C2請求配置，并根據(jù)配置進(jìn)行信息收集的任務(wù)下發(fā)。在收集完數(shù)據(jù)后，將結(jié)果格式化發(fā)送至C2。

樣本執(zhí)行流程如下圖：

圖3 執(zhí)行流程

惡意行為分析

C2（命令與控制）通信嘗試連接到單個(gè)服務(wù)器，解密后可以得到該服務(wù)器的地址是188.124.36.242，端口是25802。

圖4 解密c2服務(wù)器

RedLine Stealer 使用 .Net SOAP API，采用簡單的 TCP 綁定。這轉(zhuǎn)化為一個(gè)加密的、非 HTTP 通信通道。請求包含授權(quán)信息，并且不檢查證書有效性。

圖5 創(chuàng)建通信通道

在建立通信后，RedLine Stealer可以根據(jù) SOAP 響應(yīng)啟用/禁用某些功能。例如，通過在ScanWallets字段中指定一個(gè) false 值，惡意軟件不會(huì)掃描系統(tǒng)中的加密錢包，為了不花很多時(shí)間，它會(huì)跳過受害者機(jī)器上不存在的內(nèi)容。

圖6 掃描參數(shù)

Redline Stealer會(huì)將首先掃描基本數(shù)據(jù)情況，并將結(jié)果保存在名為 ScanResult 的結(jié)構(gòu)中，隨后發(fā)送至C2服務(wù)器。

圖7 掃描結(jié)果

基礎(chǔ)信息掃描可以先對一些情況進(jìn)行確認(rèn)，例如，若是俄語區(qū)的主機(jī)則結(jié)束操作并退出程序。

圖8 用戶判斷（地理及編碼判斷）

后續(xù)有個(gè)ScanDetails功能，它收集有關(guān)失陷主機(jī)詳細(xì)的數(shù)據(jù)，例如防病毒軟件、已安裝輸入語言列表、已安裝程序列表、運(yùn)行進(jìn)程列表以及FTP連接等，如下所示：

圖9 掃描詳情功能

該惡意軟件使用 WMI（Windows Management Instrumentation）進(jìn)行主機(jī)信息的收集，例如枚舉任何已安裝的安全解決方案。這個(gè)惡意軟件枚舉所有已安裝的安全解決方案。它可以連接ROOT\\SecurityCenter或ROOT\\SecurityCenter2命名空間調(diào)用SELECT * FROM AntiVirusProduct獲取任何防病毒、防間諜軟件和防火墻（第三方）軟件。

圖10 殺軟查詢

該惡意軟件竊取加密貨幣錢包，憑借先進(jìn)的黑客技術(shù)和隱秘操作的強(qiáng)大組合，RedLine竊取加密錢包對數(shù)字貨幣生態(tài)系統(tǒng)的安全性和穩(wěn)定性構(gòu)成嚴(yán)重威脅，RedLine 瞄準(zhǔn)了許多錢包，如Armory、Atomic、BinanceChain、Electrum、Exodus、Ethereum、Monero、Jaxx、Guarda等。

ATT&CK映射圖譜

圖11 RedLine Stealer ATT&CK映射圖譜

總結(jié)

RedLine，它因竊取數(shù)據(jù)類型多、操作便捷且售價(jià)低，得以廣泛傳播。RedLine的野生樣本已超過10萬個(gè)，使其在2022年成為最活躍的竊密木馬家族。據(jù)統(tǒng)計(jì)，RedLine在2022年的竊密木馬中占比15.42%。

為了應(yīng)對像RedLine這樣日益活躍的竊密木馬攻擊，我們需要更加深入地理解其工作機(jī)制和防護(hù)策略。竊密木馬通過向目標(biāo)用戶的計(jì)算機(jī)或設(shè)備植入惡意軟件，以竊取敏感數(shù)據(jù)和信息。攻擊者通常使用誘騙手段，如社交工程、釣魚郵件等，將木馬軟件偽裝成正常文件或鏈接，誘使用戶下載或執(zhí)行。

根據(jù)網(wǎng)絡(luò)安全公司CyberArk的報(bào)告，2023年第一季度全球共發(fā)現(xiàn)4.378億個(gè)竊密木馬樣本，較上一季度增長了98%。這說明攻擊者正在不斷更新木馬軟件，使其更難被發(fā)現(xiàn)和防御，竊密木馬攻擊的威脅正在持續(xù)升級(jí)。

這些竊密木馬攻擊可分為兩類：廣泛傳播型攻擊和定向攻擊。廣泛傳播型攻擊主要依賴于大量傳播惡意軟件，意圖感染盡可能多的設(shè)備。定向攻擊則針對特定目標(biāo)，攻擊者會(huì)深入研究目標(biāo)的行為和習(xí)慣，利用更高級(jí)的技術(shù)進(jìn)行攻擊，以實(shí)現(xiàn)長期持續(xù)的信息竊取。

為了有效防御這些竊密木馬攻擊，傳統(tǒng)的防火墻、殺毒軟件等安全措施已經(jīng)不再充分。針對定向攻擊和日益復(fù)雜的攻擊手段，企業(yè)和個(gè)人需要采取更為全面和主動(dòng)的防護(hù)策略。零信任防護(hù)方案是一種應(yīng)對此類威脅的有效方法。這種方案要求在訪問任何系統(tǒng)資源之前，都必須先進(jìn)行身份驗(yàn)證和權(quán)限確認(rèn)，從而大大降低了竊密木馬攻擊的成功率。

零信任防護(hù)遵循最小權(quán)限原則，全面驗(yàn)證用戶、設(shè)備和應(yīng)用程序的身份，結(jié)合行為分析和動(dòng)態(tài)訪問權(quán)限管理，實(shí)現(xiàn)實(shí)時(shí)威脅檢測和防護(hù)。在零信任模型下，即使攻擊者成功植入竊密木馬，其竊取信息的能力也會(huì)受到嚴(yán)格限制。通過不斷學(xué)習(xí)和適應(yīng)新的威脅，零信任防護(hù)方案有助于企業(yè)和個(gè)人更有效地應(yīng)對日益嚴(yán)重的竊密木馬攻擊。網(wǎng)宿安全產(chǎn)品SecureLink提供全套零信任防護(hù)方案，可以幫助企業(yè)從整體安全體系的角度解決竊密攻擊帶來的問題。該產(chǎn)品具有以下核心特點(diǎn)和功能：

1. 強(qiáng)大的身份驗(yàn)證：通過多因素身份驗(yàn)證、單點(diǎn)登錄、IP/時(shí)間/地理圍欄認(rèn)證等方式，確保用戶身份的真實(shí)性和可信度，防止惡意用戶或攻擊者偽裝成合法用戶進(jìn)行攻擊。
2. 實(shí)時(shí)行為分析：通過實(shí)時(shí)監(jiān)測用戶的訪問行為模式和活動(dòng)，結(jié)合人工智能和機(jī)器學(xué)習(xí)技術(shù)，通過信任評估模型及時(shí)發(fā)現(xiàn)攻擊者的異常行為并進(jìn)行預(yù)警和阻斷，以防止未知的攻擊行為。
3. 統(tǒng)一訪問控制：基于用戶身份、設(shè)備狀況和應(yīng)用程序需求，實(shí)現(xiàn)精細(xì)化的訪問控制策略，確保只有經(jīng)過授權(quán)的用戶和設(shè)備才能訪問其權(quán)限內(nèi)的敏感信息和關(guān)鍵系統(tǒng)。
4. 安全Web網(wǎng)關(guān)：提供安全辦公和上網(wǎng)的環(huán)境，檢測阻斷不合規(guī)網(wǎng)絡(luò)連接，提供高速RBI工具，將互聯(lián)網(wǎng)風(fēng)險(xiǎn)內(nèi)容與用戶設(shè)備、辦公網(wǎng)絡(luò)隔離開，有效防止外部惡意攻擊滲入。
5. 安全工作空間：提供本地隔離空間，針對敏感數(shù)據(jù)、關(guān)鍵系統(tǒng)可限定僅能在安全工作空間內(nèi)運(yùn)行及訪問，數(shù)據(jù)無法流出到個(gè)人桌面，有效防止數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

IOCs

MD5: 74200bd872e0b3d75b1d85332c3be083

C2: 188.124.36.242:25802

本文作者：網(wǎng)宿安全演武實(shí)驗(yàn)室， 轉(zhuǎn)載請注明來自FreeBuf.COM