偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

竊密紅線:淺析RedLine Stealer的危險(xiǎn)威脅

安全 數(shù)據(jù)安全
RedLine,它因竊取數(shù)據(jù)類型多、操作便捷且售價(jià)低,得以廣泛傳播。RedLine的野生樣本已超過10萬個(gè),使其在2022年成為最活躍的竊密木馬家族。據(jù)統(tǒng)計(jì),RedLine在2022年的竊密木馬中占比15.42%。

網(wǎng)宿安全演武實(shí)驗(yàn)室近期捕獲了RedLine Stealer惡意竊密木馬。RedLine Stealer,首次于2020年3月出現(xiàn),是一款主要針對Windows用戶的惡意軟件,其主要目標(biāo)是竊取受害者的個(gè)人數(shù)據(jù)和信息。從各類途徑(包括破解游戲、應(yīng)用程序和服務(wù))的傳播使其成為了一個(gè)持續(xù)的網(wǎng)絡(luò)安全威脅。

此惡意軟件的功能主要在于從多種客戶端程序中竊取登錄憑據(jù),包括網(wǎng)絡(luò)瀏覽器、FTP客戶端、電子郵件應(yīng)用、Steam、即時(shí)消息客戶端以及VPN客戶端。其對于FileZilla、Discord、Steam、Telegram和VPN客戶端數(shù)據(jù)的竊取功能尤為顯著。除此之外,RedLine Stealer還能夠竊取儲(chǔ)存在瀏覽器中的身份驗(yàn)證cookie、信用卡信息、聊天記錄、本地文件以及加密貨幣錢包。RedLine Stealer還具備系統(tǒng)信息收集的能力,能獲取受害者系統(tǒng)的細(xì)節(jié),例如IP地址、所在城市和國家、當(dāng)前用戶名、操作系統(tǒng)版本、UAC設(shè)置、管理員權(quán)限、用戶代理,以及關(guān)于受感染PC的硬件和顯卡的詳細(xì)信息。該軟件甚至還能檢測系統(tǒng)中已安裝的防病毒軟件。

除了信息收集之外,RedLine Stealer還充當(dāng)惡意軟件加載器的角色,可用于部署其他類型的惡意軟件,例如勒索軟件,這進(jìn)一步增加了其對網(wǎng)絡(luò)安全的威脅。此軟件會(huì)將收集的數(shù)據(jù)轉(zhuǎn)換為XML格式,然后利用多種防御逃避技術(shù)傳輸至控制服務(wù)器(C2服務(wù)器)。C2服務(wù)器是惡意軟件的遠(yuǎn)程控制中心,用于接收竊取的數(shù)據(jù)和發(fā)送控制命令。

值得關(guān)注的是,RedLine Stealer運(yùn)用了惡意軟件即服務(wù)(MaaS)的商業(yè)模式,這種模式在黑客社區(qū)中較為常見。在犯罪論壇中,RedLine Stealer的價(jià)格定為150美元/月,或者一次性支付900美元購買終身使用權(quán)。其開發(fā)者還在Telegram頻道上銷售此軟件,接受比特幣支付。購買者還可獲得一款免費(fèi)的加殼程序,用以規(guī)避安全軟件的檢測。

圖1  售賣信息圖1 售賣信息

作者最近一次更新于2023年6月份,可以看到該軟件一直在持續(xù)不斷的更新中。同時(shí),Github中有該軟件早期的泄露版本。

圖2  更新信息圖2 更新信息

RedLine Stealer有多種感染方式,包括電子郵件附件、惡意鏈接、軟件漏洞、社交工程等。它的出現(xiàn)警示我們,網(wǎng)絡(luò)安全不可忽視,一定要隨時(shí)更新防病毒軟件,提高警惕,盡可能地防止此類惡意軟件的入侵。

樣本概要:

執(zhí)行惡意文件后,它會(huì)向C2請求配置,并根據(jù)配置進(jìn)行信息收集的任務(wù)下發(fā)。在收集完數(shù)據(jù)后,將結(jié)果格式化發(fā)送至C2。

樣本執(zhí)行流程如下圖:

圖3  執(zhí)行流程圖3 執(zhí)行流程

惡意行為分析

C2(命令與控制)通信嘗試連接到單個(gè)服務(wù)器,解密后可以得到該服務(wù)器的地址是188.124.36.242,端口是25802。

圖4  解密c2服務(wù)器圖4 解密c2服務(wù)器

RedLine Stealer 使用 .Net SOAP API,采用簡單的 TCP 綁定。這轉(zhuǎn)化為一個(gè)加密的、非 HTTP 通信通道。請求包含授權(quán)信息,并且不檢查證書有效性。

圖5  創(chuàng)建通信通道圖5 創(chuàng)建通信通道

在建立通信后,RedLine Stealer可以根據(jù) SOAP 響應(yīng)啟用/禁用某些功能。例如,通過在ScanWallets字段中指定一個(gè) false 值,惡意軟件不會(huì)掃描系統(tǒng)中的加密錢包,為了不花很多時(shí)間,它會(huì)跳過受害者機(jī)器上不存在的內(nèi)容。

圖6  掃描參數(shù)圖6 掃描參數(shù)

Redline Stealer會(huì)將首先掃描基本數(shù)據(jù)情況,并將結(jié)果保存在名為 ScanResult 的結(jié)構(gòu)中,隨后發(fā)送至C2服務(wù)器。

圖7  掃描結(jié)果圖7 掃描結(jié)果

基礎(chǔ)信息掃描可以先對一些情況進(jìn)行確認(rèn),例如,若是俄語區(qū)的主機(jī)則結(jié)束操作并退出程序。

圖8  用戶判斷(地理及編碼判斷)圖8 用戶判斷(地理及編碼判斷)

后續(xù)有個(gè)ScanDetails功能,它收集有關(guān)失陷主機(jī)詳細(xì)的數(shù)據(jù),例如防病毒軟件、已安裝輸入語言列表、已安裝程序列表、運(yùn)行進(jìn)程列表以及FTP連接等,如下所示:

圖9  掃描詳情功能圖9 掃描詳情功能

該惡意軟件使用 WMI(Windows Management Instrumentation)進(jìn)行主機(jī)信息的收集,例如枚舉任何已安裝的安全解決方案。這個(gè)惡意軟件枚舉所有已安裝的安全解決方案。它可以連接ROOT\\SecurityCenter或ROOT\\SecurityCenter2命名空間調(diào)用SELECT * FROM AntiVirusProduct獲取任何防病毒、防間諜軟件和防火墻(第三方)軟件。

圖10  殺軟查詢圖10 殺軟查詢

該惡意軟件竊取加密貨幣錢包,憑借先進(jìn)的黑客技術(shù)和隱秘操作的強(qiáng)大組合,RedLine竊取加密錢包對數(shù)字貨幣生態(tài)系統(tǒng)的安全性和穩(wěn)定性構(gòu)成嚴(yán)重威脅,RedLine 瞄準(zhǔn)了許多錢包,如Armory、Atomic、BinanceChain、Electrum、Exodus、Ethereum、Monero、Jaxx、Guarda等。

ATT&CK映射圖譜

圖11  RedLine Stealer ATT&CK映射圖譜圖11 RedLine Stealer ATT&CK映射圖譜

總結(jié)

RedLine,它因竊取數(shù)據(jù)類型多、操作便捷且售價(jià)低,得以廣泛傳播。RedLine的野生樣本已超過10萬個(gè),使其在2022年成為最活躍的竊密木馬家族。據(jù)統(tǒng)計(jì),RedLine在2022年的竊密木馬中占比15.42%。

為了應(yīng)對像RedLine這樣日益活躍的竊密木馬攻擊,我們需要更加深入地理解其工作機(jī)制和防護(hù)策略。竊密木馬通過向目標(biāo)用戶的計(jì)算機(jī)或設(shè)備植入惡意軟件,以竊取敏感數(shù)據(jù)和信息。攻擊者通常使用誘騙手段,如社交工程、釣魚郵件等,將木馬軟件偽裝成正常文件或鏈接,誘使用戶下載或執(zhí)行。

根據(jù)網(wǎng)絡(luò)安全公司CyberArk的報(bào)告,2023年第一季度全球共發(fā)現(xiàn)4.378億個(gè)竊密木馬樣本,較上一季度增長了98%。這說明攻擊者正在不斷更新木馬軟件,使其更難被發(fā)現(xiàn)和防御,竊密木馬攻擊的威脅正在持續(xù)升級(jí)。

這些竊密木馬攻擊可分為兩類:廣泛傳播型攻擊和定向攻擊。廣泛傳播型攻擊主要依賴于大量傳播惡意軟件,意圖感染盡可能多的設(shè)備。定向攻擊則針對特定目標(biāo),攻擊者會(huì)深入研究目標(biāo)的行為和習(xí)慣,利用更高級(jí)的技術(shù)進(jìn)行攻擊,以實(shí)現(xiàn)長期持續(xù)的信息竊取。

為了有效防御這些竊密木馬攻擊,傳統(tǒng)的防火墻、殺毒軟件等安全措施已經(jīng)不再充分。針對定向攻擊和日益復(fù)雜的攻擊手段,企業(yè)和個(gè)人需要采取更為全面和主動(dòng)的防護(hù)策略。零信任防護(hù)方案是一種應(yīng)對此類威脅的有效方法。這種方案要求在訪問任何系統(tǒng)資源之前,都必須先進(jìn)行身份驗(yàn)證和權(quán)限確認(rèn),從而大大降低了竊密木馬攻擊的成功率。

零信任防護(hù)遵循最小權(quán)限原則,全面驗(yàn)證用戶、設(shè)備和應(yīng)用程序的身份,結(jié)合行為分析和動(dòng)態(tài)訪問權(quán)限管理,實(shí)現(xiàn)實(shí)時(shí)威脅檢測和防護(hù)。在零信任模型下,即使攻擊者成功植入竊密木馬,其竊取信息的能力也會(huì)受到嚴(yán)格限制。通過不斷學(xué)習(xí)和適應(yīng)新的威脅,零信任防護(hù)方案有助于企業(yè)和個(gè)人更有效地應(yīng)對日益嚴(yán)重的竊密木馬攻擊。網(wǎng)宿安全產(chǎn)品SecureLink提供全套零信任防護(hù)方案,可以幫助企業(yè)從整體安全體系的角度解決竊密攻擊帶來的問題。該產(chǎn)品具有以下核心特點(diǎn)和功能:

  1. 強(qiáng)大的身份驗(yàn)證:通過多因素身份驗(yàn)證、單點(diǎn)登錄、IP/時(shí)間/地理圍欄認(rèn)證等方式,確保用戶身份的真實(shí)性和可信度,防止惡意用戶或攻擊者偽裝成合法用戶進(jìn)行攻擊。
  2. 實(shí)時(shí)行為分析:通過實(shí)時(shí)監(jiān)測用戶的訪問行為模式和活動(dòng),結(jié)合人工智能和機(jī)器學(xué)習(xí)技術(shù),通過信任評估模型及時(shí)發(fā)現(xiàn)攻擊者的異常行為并進(jìn)行預(yù)警和阻斷,以防止未知的攻擊行為。
  3. 統(tǒng)一訪問控制:基于用戶身份、設(shè)備狀況和應(yīng)用程序需求,實(shí)現(xiàn)精細(xì)化的訪問控制策略,確保只有經(jīng)過授權(quán)的用戶和設(shè)備才能訪問其權(quán)限內(nèi)的敏感信息和關(guān)鍵系統(tǒng)。
  4. 安全Web網(wǎng)關(guān):提供安全辦公和上網(wǎng)的環(huán)境,檢測阻斷不合規(guī)網(wǎng)絡(luò)連接,提供高速RBI工具,將互聯(lián)網(wǎng)風(fēng)險(xiǎn)內(nèi)容與用戶設(shè)備、辦公網(wǎng)絡(luò)隔離開,有效防止外部惡意攻擊滲入。
  5. 安全工作空間:提供本地隔離空間,針對敏感數(shù)據(jù)、關(guān)鍵系統(tǒng)可限定僅能在安全工作空間內(nèi)運(yùn)行及訪問,數(shù)據(jù)無法流出到個(gè)人桌面,有效防止數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

IOCs

MD5: 74200bd872e0b3d75b1d85332c3be083

C2: 188.124.36.242:25802

本文作者:網(wǎng)宿安全演武實(shí)驗(yàn)室, 轉(zhuǎn)載請注明來自FreeBuf.COM

責(zé)任編輯:武曉燕 來源: FreeBuf.COM
相關(guān)推薦

2021-12-31 10:49:02

惡意軟件黑客網(wǎng)絡(luò)攻擊

2023-01-03 13:56:43

2023-05-30 11:52:38

2020-03-24 10:51:30

威脅情報(bào)網(wǎng)絡(luò)安全暗網(wǎng)

2010-10-08 11:04:03

2021-11-09 15:40:47

網(wǎng)絡(luò)安全網(wǎng)絡(luò)威脅網(wǎng)絡(luò)攻擊

2023-05-09 11:33:18

2021-03-10 10:13:46

物聯(lián)網(wǎng)安全物聯(lián)網(wǎng)IOT

2013-02-02 15:58:54

2015-11-24 09:31:15

2023-06-02 12:48:16

2012-02-23 10:18:39

JavaRedline

2023-11-23 12:12:00

2018-06-23 00:28:22

2010-12-30 09:30:04

2018-01-30 16:23:09

2021-05-19 15:18:00

2011-05-13 11:28:15

2013-02-19 09:06:54

2021-01-15 13:27:50

竊密腳本CSS惡意代碼
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)