行業(yè)資訊


警惕“聖誕禮物(wù)”RedLine間諜木(mù)馬攻擊

2023-12-18 143

 

image.png 

2023年(nián)12 月(yuè)15

 

警惕“聖誕禮物(wù)”RedLine間諜木(mù)馬攻擊

 

緊急程度:★★★☆☆

影響平台:Windows

 

尊敬的用戶:

您好!

 

RedLine是一(yī)款商業(yè)間諜木(mù)馬,首次出現于2020年(nián)3月(yuè)。其以惡意軟件(jiàn)即服務(MaaS)的商業(yè)模式獲利。該木(mù)馬除了具有極高(gāo)的隐蔽性、成熟的商業(yè)化模式以及竊取的數據價值高(gāo)等特點外,還(hái)不斷尋求更複雜(zá)的技(jì)術(shù)手段、更具針對性的攻擊。因此,其已發展為(wèi)危害網絡數據資産的主要威脅之一(yī)。

 

RedLine通(tōng)常是通(tōng)過釣魚郵件(jiàn)或挂馬網站(zhàn)進行傳播。釣魚郵件(jiàn)更多(duō)的是利用社會(huì)工(gōng)程學,“蹭熱點”、節日祝福和節日福利是攻擊者經常使用的社工(gōng)手法。聖誕節将近,RedLine木(mù)馬就(jiù)使用了主題為(wèi)“聖誕禮物(wù)”的釣魚郵件(jiàn)發動攻擊,其主要目的是竊取用戶的浏覽器(qì)、應用程序、加密貨币錢(qián)包等敏感信息。為(wèi)保護數據資産安全,建議用戶提高(gāo)警惕,預防間諜木(mù)馬攻擊。

 

image.png 

RedLine木(mù)馬釣魚攻擊樣例】

 

病毒詳細分析

該木(mù)馬運行後會(huì)釋放(fàng)winlogon.exe和svchost.exe兩個(gè)惡意文件(jiàn),其中winlogon.exe主要功能(néng)是竊密,svchost.exe則是設置木(mù)馬自(zì)啓動并收集環境信息。本文将對這兩個(gè)惡意文件(jiàn)進行詳細分析。

image.png 

RedLine木(mù)馬攻擊流程】

 

該木(mù)馬使用.NET編寫,在運行時會(huì)釋放(fàng)C:\Users\用戶名\AppData\Roaming\winlogon.exe文件(jiàn)并執行,實現竊密主體行為(wèi)并進行C2通(tōng)信。

image.png 

 

釋放(fàng)并執行僞裝文件(jiàn)NetFlix Checker by xRisky v2.exe。

image.png 

 

釋放(fàng)并執行文件(jiàn)C:\Users\用戶名\AppData\Roaming\svchost.exe,實現自(zì)啓動以及主機(jī)信息查詢功能(néng)。

image.png 

 

winlogon.exe分析

釋放(fàng)的winlogon.exe是經過Eazfuscator混淆的.NET程序,負責竊取如下(xià)幾類隐私數據。

 

l  竊取浏覽器(qì)信息

收集終端安裝的浏覽器(qì)信息,并通(tōng)過注冊表鍵值StartMenuInternet獲取系統默認浏覽器(qì):

image.png 

 

從(cóng)Chrome和Opera浏覽器(qì)竊取自(zì)動填充的數據,包括登錄數據和地理位置等信息:

image.png 

 

竊取浏覽器(qì)cookie:

image.png 

 

竊取賬戶信息:

image.png 

image.png 

 

竊取浏覽器(qì)自(zì)動填充數據:

image.png 

image.png 

 

竊取信用卡信息:

image.png 

 

通(tōng)過插件(jiàn)Geoplugin獲取終端所在位置:

image.png 

 

當收集到(dào)終端信息時,會(huì)将信息以列表的方式進行存儲:

image.png 

 

l  竊取加密錢(qián)包

該木(mù)馬在%APPData%目錄中收集Armoury.wallet文件(jiàn):

image.png 

 

使用相(xiàng)同手法竊取Atomic、Coinomi、Electrum、Guarda錢(qián)包信息:

image.png 

image.png 

 

竊取Exodus錢(qián)包信息:

image.png 

 

l  收集系統信息

該木(mù)馬除了收集上(shàng)述提到(dào)的終端所在地區信息外,還(hái)收集系統信息,包括主機(jī)環境信息、IP、國(guó)家、郵政編碼以及文件(jiàn)信息等。

image.png 

 

其除了通(tōng)過select命令檢索會(huì)話 ID、名稱和命令行外,還(hái)會(huì)通(tōng)過select命令查詢主機(jī)中的進程、磁盤驅動等信息。

image.png 

 

通(tōng)過注冊表SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion的ProductName和CSDVersion鍵值獲取主機(jī)系統版本信息。

image.png 

 

除此之外,其還(hái)會(huì)竊取如doc、dll、txt等常見(jiàn)文件(jiàn)格式的文件(jiàn):

image.png 

 

該木(mù)馬還(hái)從(cóng)%AppData%目錄的\\FileZilla\\sitemanager.xml文件(jiàn)中提取帳戶詳細信息:

image.png 

 

通(tōng)過GetDirectories()以及GetFiles()函數獲取到(dào)Program Files(x86)和ProgramData目錄下(xià)的文件(jiàn)内容:

image.png 

 

 

該木(mù)馬将竊取到(dào)的信息通(tōng)過HTTP協議發送到(dào)其C2服務器(qì)(C2域名被硬編碼在木(mù)馬樣本中)。

 

image.png 

image.png 

 

svchost.exe文件(jiàn)分析

通(tōng)過設置計劃任務實現自(zì)啓動功能(néng):/c schtasks /create /f /sc onlogon /rl highest /tn

image.png 

 

通(tōng)過設置注冊表鍵值實現自(zì)啓動功能(néng):

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\chrome

"C:\Users\用戶名\AppData\Roaming\chrome.exe"

image.png 

 

該木(mù)馬遍曆系統進程查詢ProcessHacker.exe、procexp.exe、ConfigSecurityPolicy.exe等安全工(gōng)具類進程,為(wèi)後續入侵做準備。

image.png 

 

亞信安全産品解決方案
 

ü  亞信安全高(gāo)級威脅郵件(jiàn)防護系統(DDEI)可以有效檢測RedLine釣魚郵件(jiàn),在源頭上(shàng)阻止釣魚郵件(jiàn)攻擊,防止數據洩露。

image.png 

 

ü  亞信安全傳統病毒碼版本18.871.60,雲病毒碼版本18.871.71,全球碼版本18.871.00已經可以檢測該間諜木(mù)馬,請用戶及時升級病毒碼版本:

image.png 

 

ü  亞信安全夢蝶防病毒引擎可檢測該間諜木(mù)馬,可檢測的病毒碼版本為(wèi)1.6.0.186:

image.png 

 

ü  亞信安全DDAN沙盒平台已經可以檢測該木(mù)馬:

image.png 

 

安全建議

 

ü  全面部署安全産品,保持相(xiàng)關組件(jiàn)及時更新;

ü  保持系統以及常見(jiàn)軟件(jiàn)更新,對高(gāo)危漏洞及時修補。

ü  不要點擊來源不明的郵件(jiàn)、附件(jiàn)以及郵件(jiàn)中包含的鏈接;

ü  請到(dào)正規網站(zhàn)下(xià)載程序;

ü  采用高(gāo)強度的密碼,避免使用弱口令密碼,并定期更換密碼;

ü  盡量關閉不必要的端口及網絡共享。

 

IOC

 

SHA1:

e733716554cf9edf2a5343aef0e93c95b7fa7cd4

ccee276337037c0dbe9d83d96eefb360c5655a03

5b7ca520b0eb78ab36fa5a9f87d823f46bfc5877

003062c65bda7a8bc6400fb0d9feee146531c812

 

C2:

siyatermi[.]duckdns[.]org